JWT
看session很明顯使用了jwt
id和username需要去解jwt就可以得到
坑點:不要只看前半部分迷惑流量

沒有的到權限所以說這部分流量可以忽略,往后翻

這條流量權限就變成了root,所以這個session才是正確的
解出來id=10087 username=admin

檔案就是1.c
編譯惡意檔案名為looter.so檔案,在后邊的流量中也是可以看到的

修改的組態檔

SQL注入
附件是access.log日志檔案,里邊就是sql注入-布爾盲注的資料包
前邊的不用看
172.17.0.1 - - [01/Sep/2021:01:45:55 +0000] "GET /index.php?id=1 and if(substr((select flag from sqli.flag),1,1) = 'u',1,(select table_name from information_schema.tables)) HTTP/1.1" 200 424 "-" "python-requests/2.26.0"
這條就包含了資料庫sqli,表明flag,欄位名flag,值需要根據盲注資料逐個判斷
webshell
用戶名和密碼在tcp第6個流中可以看到

接著翻好久找到寫入的檔案


獲取webshell的權限

使用的代理工具為frpc


將提下tiem的值16進制編碼轉換下
得到回連服務器ip和地址以及socks5連接賬號密碼

簡單日志分析
也是一個日志檔案,有三個是500的,而且比較長很明顯

絕對路徑

反彈ip和埠,最好先url解碼,在base64解碼

日志分析
和上題一樣的套路,看回應碼,原始碼檔案www.zip

/tmp目錄寫的檔案

?filename=..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Ftmp%2Fsess_car&content=func|N%3Bfiles|a%3A2%3A{s%3A8%3A"filename"%3Bs%3A16%3A".%2Ffiles%2Ffilename"%3Bs%3A20%3A"call_user_func_array"%3Bs%3A28%3A".%2Ffiles%2Fcall_user_func_array"%3B}paths|a%3A1%3A{s%3A5%3A"%2Fflag"%3Bs%3A13%3A"SplFileObject"%3B}
反序列化漏洞
記憶體取證
附件是一個vmem檔案
tips.txt內容
no space but underline
先通過 imageinfo 獲取系統資訊
.\volatility_2.6_win64_standalone.exe -f .\Target.vmem imageinfo

獲取用戶名
.\volatility_2.6_win64_standalone.exe -f .\Target.vmem --profile=Win7SP1x64 hashdump

獲取最后登陸的用戶
.\volatility_2.6_win64_standalone.exe -f .\Target.vmem --profile=Win7SP1x64 lsadump

可以使用minikatz插件獲取flag
kali自帶的volatility安裝插件
1.安裝依賴庫:sudo pip install construct==2.5.5-reupload
2.將解壓后的py檔案復制到原生插件所在的目錄下面
/usr/lib/python2.7/dist-packages/volatility/plugins
然后沒成功,,,試了github issue的方法也不行,估計是python 23共存的問題
其他師傅復現的wp

IOS
黑客控制的IP是

工具就是下一個包鏈接

通訊加密密鑰的明文,可以打開上邊那個工具的主頁,看下readme

就是hack4sec
使用題目給出的密鑰去解密流量
設定->首選項->TLS匯入檔案

底部發現大量http2協議內容
HTTP/2 是 HTTP 網路協議的一個重要版本, HTTP / 2的主要目標是通過啟用完整的請求和回應多路復用來減少延遲,通過有效壓縮HTTP標頭欄位來最小化協議開銷,并增加對請求優先級和服務器推送的支持, HTTP/2 不會修改HTTP 協議的語意,
黑客埠掃描的掃描器的掃描范圍,流量中有很多的dest的地址

師傅們wp
tcpdump -n -r triffic.pcap | awk '{print $2$3}' | sort -u > su.txt
reading from file triffic.pcap, link-type EN10MB (Ethernet)
日志中有一個
172.28.0.3 - - [28/Aug/2021:18:45:14 +0000] "GET /favicon.ico HTTP/1.1" 200 43 "http://172.28.0.2//ma.php?fxxk=system(base64_decode(%27d2hvYW1p%27));" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.130 Safari/537.36" "-"
流量中有一個

黑客寫入的webshell就是上面日志中的密碼是fxxk
WIFI
http://www.snowywar.top/?p=2554
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/300681.html
標籤:其他
上一篇:雙查詢注入-報錯原理淺析
下一篇:檔案上傳漏洞詳解(CTF篇)
