玄机流量特征分析-常⻅攻击事件 tomcat

衡阳信安 · 公众号 · · 2024-08-30 00:00

主要观点总结

文章描述了关于网络安全的一系列挑战和攻击场景，包括发现可疑活动、确定攻击者IP和位置、找到web服务器管理面板的访问端口、识别攻击者使用的工具、找到攻击者通过暴力破解方式登录的用户名和密码、识别攻击者上传的恶意文件以及维持提权后的登录的关键信息。

关键观点总结

关键观点1: flag1：在web服务器上发现可疑活动，分析扫描行为后提交攻击者IP，格式为flag{ip}。

通过流量分析识别恶意扫描行为，提交攻击者的IP。

关键观点2: flag2：找到攻击者IP后，通过技术手段确定其所在地址，格式为flag{城市英文小写}。

使用在线网站反查IP地址以获取物理地址。

关键观点3: flag3：找到web服务器管理面板的访问端口，格式为flag{端口号}。

分析数据包，找到web服务器管理面板的访问端口，如host-manager和manager目录的访问端口8080。

关键观点4: flag4：识别攻击者使用的工具，格式为flag{名称}。

根据扫描工具的指纹特征在User-Agent头中识别工具，如gobuster。

关键观点5: flag5：找到攻击者通过暴力破解方式登录成功的用户名和密码，格式为flag{用户名-密码}。

分析流量，找到攻击者登录成功的最后数据包，获取账号密码，如flag{root-123}。

关键观点6: flag6：攻击者上传恶意文件，分析流量提交恶意文件的名称，格式为flag{文件名}。

找到上传文件的数据包，追踪流以找到恶意文件的名称。

关键观点7: flag7：攻击者想要维持提权成功后的登录，分析流量后提交关键信息。

从上传war包的数据包之后的流中，查找计划任务命令以获取关键信息。

正文

flag1 : 在web服务器上发现的可疑活动,流量分析会显示很多请求,这表明存在恶意的扫描⾏为,通过分析扫描的⾏为后提交攻击者IP  flag格式：flag{ip}，如：flag{127.0.0.1}flag2 : 找到攻击者IP后请通过技术⼿段确定其所在地址 flag格式: flag{城市英⽂⼩写}flag3 : 哪⼀个端⼝提供对web服务器管理⾯板的访问？flag格式：flag{2222}flag4 : 经过前⾯对攻击者⾏为的分析后,攻击者运⽤的⼯具是？flag格式：flag{名称}flag5 : 攻击者拿到特定⽬录的线索后,想要通过暴⼒破解的⽅式登录,请通过分析流量找到攻击者登录成功的⽤户名和密码？ flag格式：flag{root-123}flag6 : 攻击者登录成功后,先要建⽴反弹shell,请分析流量提交恶意⽂件的名称？flag格式：flag{114514.txt}flag7 : 攻击者想要维持提权成功后的登录,请分析流量后提交关键的信息？flag提示,某种任务⾥的信息