应急靶场(10)：【玄机】流量特征分析-蚁剑流量分析

一、木马的连接密码是多少

Wireshark打开流量包后，搜索http查看HTTP请求，发现6个访问1.php的请求。

选中第一个HTTP请求，追踪HTTP流。

在HTTP请求体中看到明显的蚁剑webshell木马特征，连接密码是：1。

二、黑客执行的第一个命令是什么

复制HTTP请求体中蚁剑webshell木马payload的最后一个变量值：AkY2QgIi92YXIvd3d3L2h0bWwiO2lkO2VjaG8gZTEyNGJjO3B3ZDtlY2hvIDQzNTIz。

先将变量值删除前2个字符，再分别进行URL解码和Base64解码，得到蚁剑webshell木马执行的命令：cd "/var/www/html";id;echo e124bc;pwd;echo 43523。

一共5个命令：1、cd "/var/www/html"; 2、id; 3、echo e124bc; 4、pwd; 5、echo 43523 其中第1个、第3个、第4个、第5个，都是蚁剑webshell木马自带的命令，只有第2个是黑客输入的。因此答案是：flag{id}。

三、黑客读取了哪个文件的内容，提交文件绝对路径

点击Stream旁的上下箭头切换Stream，并逐个复制HTTP请求体中蚁剑webshell木马payload的最后一个变量值，先删除前2个字符，再分别进行URL解码和Base64解码。

在Stream2时，变量值是mtY2QgIi92YXIvd3d3L2h0bWwiO2NhdCAvZXRjL3Bhc3N3ZDtlY2hvIGUxMjRiYztwd2Q7ZWNobyA0MzUyMw%3D%3D，解码后是：cd "/var/www/html";cat /etc/passwd;echo e124bc;pwd;echo 43523。

第2个命令是黑客输入的，cat /etc/passwd，所以黑客读取文件的绝对路径是：/etc/passwd。

四、黑客上传了什么文件到服务器，提交文件名

将6个蚁剑webshell木马的请求内容全部解码，得到：

1、cd "/var/www/html";id;echo e124bc;pwd;echo 43523
2、cd "/var/www/html";ls;echo e124bc;pwd;echo 43523
3、cd "/var/www/html";cat /etc/passwd;echo e124bc;pwd;echo 43523
4、/var/www/html/flag.txt
5、/var/www/html/
6、/var/www/html/config.php

其中第2个请求和第5个请求都是打印文件清单，因此可通过对比两个文件清单的差异，来判断黑客增删的文件。

通过对比可知，第2个请求时有17个文件，第5个请求时有18个文件，多了flag.txt文件。

五、黑客上传的文件内容是什么

由此判断第4个请求是上传flag.txt文件。

将蚁剑webshell木马的payload进行URL解码。

再进行JS美化，得到2个变量。

第2个变量值，老样子，删掉前2个字符后进行Base64解码，得到上传的文件名：/var/www/html/flag.txt。

第1个变量值，直接进行Hex解码，得到上传的文件内容：flag{write_flag}。

六、黑客下载了哪个文件，提交文件绝对路径

在第四题时可知，第6个HTTP请求下载了文件：/var/www/html/config.php。