网络安全CTF流量分析-入门2-攻击流量和编码方式一、基本流量分析使用Wireshark打开并分析流量,可以观察到主要内容为HTTP报文。通过导出并查看HTTP流量,可以大致了解流量的整体情况。进一步分析发现,流量中频繁出现与“Exec”的通信,这为我们确定了恶意流量的范围。二、读题题目提出了以下六个问题,需要我们从流量分析中找到答案:该网站使用了______认证方式。黑客绕过验证使用的jwt中,id和username是______。黑客获取webshell之后,权限是______?黑客上传的恶意文件文件名是_____________。黑客在服务器上编译的恶意so文件,文件名是_____________。黑客在服务器上修改了一个配置文件,文件的绝对路径为_____________。三、根据流量查找答案我们已经确定了大致的恶意流量范围,因此重点关注与“Exec”的通信。四、解答4.1 第一问通过追踪与“Exec”的通信,可以发现token的认证是以“eyJ”开头,这是JWT(JSON Web Token)的典型特征。因此,答案是JWT。4.2 第二问我们需要解密对应的JWT token。在流量中,存在两个token(10086和10087)。通过对比执行命令的回显,我们可以确定哪个token是正确的。解密后发现,10087对应的token包含有效的“id”和“username”,即“10087#admin”。因此,答案是“10087#admin”。4.3 第三问在解密JWT token的过程中,我们已经看到了黑客执行“whoami”命令的回显,该命令返回的结果是“root”。因此,黑客获取webshell之后的权限是root。4.4 第四问继续翻找数据包,观察黑客上传文件的行为。在流量中,我们找到了一个写入文件的操作,写入的是“/tmp/1.c”文件。因此,黑客上传的恶意文件文件名是“/tmp/1.c”。4.5 第五问继续翻找流量包,我们需要找到与命令产生交互的so文件,这通常是被篡改的文件。在流量中,我们找到了一个与“looter.so”文件产生交互的操作。因此,黑客在服务器上编译的恶意so文件名是“looter.so”。4.6 第六问etc文件通常存放配置文件。在流量中,我们发现了“looter.so”文件被导向了etc目录的某个位置。结合常识和流量分析,我们可以猜测黑客修改了位于“/etc/pam.d/common-auth”的配置文件。因此,该文件的绝对路径是“/etc/pam.d/common-auth”。综上所述,我们通过分析流量,成功找到了所有问题的答案。