第六章 流量特征分析-常见攻击事件 tomcat wp

1、在web服务器上发现的可疑活动,流量分析会显示很多请求,这表明存在恶意的扫描行为,通过分析扫描的行为后提交攻击者IP flag格式：flag{ip}，如：flag{127.0.0.1}

可看见有大量的IP为：14.0.0.120的ip攻击10.0.0.112。

2、找到攻击者IP后请通过技术手段确定其所在地址 flag格式: flag{城市英文小写}

这里我们使用ip128来查询其地址：ip查询 查ip 网站ip查询 同ip网站查询 iP反查域名 iP查域名 同ip域名

3、哪一个端口提供对web服务器管理面板的访问？ flag格式：flag{2222}

这里提到了是tomcat，那可能就是tomcat的管理页面，这里我们直接跳过目录攻击流量来到第19948编号的流量。发现19951有http请求，我们追踪下流量看下。

 经典的tomcat的页面，所有使用的端口为：8080

4、经过前面对攻击者行为的分析后,攻击者运用的工具是？ flag格式：flag{名称}

这里我们随便打开一个扫描流量，看下ua头，这里我们看一下20144编号的http流，因为他要http请求，前面的攻击就应该是DDOS攻击，他一直发tcp连接的包，tcp洪泛攻击，后面他又进行目录的扫描。发现有大量的ua为下图的请求。咱们又不认识，百度一下，

确定为攻击工具，和攻击行为对应上了。

5、攻击者拿到特定目录的线索后,想要通过暴力破解的方式登录,请通过分析流量找到攻击者登录成功的用户名和密码？ flag格式：flag{root-123}

这里许多人会想看看有没有post请求的登录包，但是tomcat有个很经典的getshell，rce应该很多人都打过吧，开局就是弱口令，但是他的登录方式不是post请求，而是对用户名和密码组合并base64加密，并放置于Authorization处，所有我们追踪下http流，并在20533编号处追踪下，

再找下200的返回包。

放入base64解密 

6、攻击者登录成功后,先要建立反弹shell,请分析流量提交恶意文件的名称？ flag格式：flag{114514.txt}

查看编号为20616的http流，看到经典的上传war包getshell，所有上传的文件为JXQOZY.war。

7.攻击者想要维持提权成功后的登录,请分析流量后提交关键的信息？ flag提示,某种任务里的信息 

这里说到维权，又说某种任务，估计是想在计划任务里写反弹shell。

我开始查询nc，发现好多误导项，又想他会查看计划任务，就查询crontab，发现存在，再看下tcp流，发现他的反弹shell命令。

ok,恭喜你完成挑战。

8.总结：

大概的攻击流程就是：

1. DDOS攻击，

2.使用工具爆破出来/manager/html路径，

3.再爆破用户名密码

4.上传war包getshell

5.写入计划任务，反弹shell