网站开发软件开发流程图做自己的卡盟网站
题目
1.攻击者在JEECMS中创建了的账户使用的邮箱是?例如:user01@qq.com
2. 攻击者在什么时候利用创建的账户登录了网站?以数据包时间为准,例如:2011/01/01/01:01:01
3. 攻击者向JEECMS站点中的什么URL传递了需要命令执行的内容?例如:/test/cmd.jsp
4. 攻击者从JEECMS站点中的哪个文件获取到了命令执行的结果?例如:/test/results.txt
5. 攻击者下载的第一个恶意文件的名称是?例如:attack.elf
6. JEECMS站点第一反弹shell至攻击者的哪个IP和端口?例如:1.1.1.1:1111
1
ip.src == 10.1.0.195 && http过滤,再搜索POST包
因为这题是问创建了的账户使用的邮箱,该注册操作基本上都是post包,并且这个包还是form表单上传类型
那么这题就出来了,test3@163.com
2
上一个创建的数据包是4409号,那么攻击者登录了网站的数据包肯定在4409之后,而且也不会相隔很久,我们先下滑,发现4641处是一个login的流量包,我们追踪看看
发现返回302,这里多半不是
往下也有一个login流量包,追踪看看发现返回302且有timeout=20,那这里就不是了
继续查看其他有login的流量
这里有点可疑,那么我们就先保留一下这里的时间 Tue, 21 Feb 2023 02:44:17 GMT(2023年2月21日,格林尼治时间(GMT)上午2点44分17秒)
发现接下去的流量包,基本都和上面我记录时间的流量包特征差不多,且有一个文件上传和目录遍历的操作,正常来说,得登录才能上传文件,所以这里的时间也就找到了
3
先去查看那个长度为296的post包,因为这个包很可以,上传了HTML文件,但上传的限制是image/jpeg
发现这里还真不对,有恶意的代码,尝试在服务器上执行 chmod +x /tmp/Apache-Tomcat8.tar.gz 命令。
那么答案也出来了/member/o_swfAttachsUpload.jspx
4
可以继续下滑看到,这里服务器返回了一个文件的存储路径,攻击者再去访问了这个路径
这里并没有返回命令执行的结果,那就继续往下看,继续看这个接口的包即可
这里返回了tomcat8,/u/cms/www/202302/21024428btw4.html
但我在重新整理的时候发现访问/u/cms/www/202302/21024418310h.html回显uid=1000(tomcat) gid=1000(tomcat) groups=1000(tomcat)
所以应该是/u/cms/www/202302/21024418310h.html回显uid=1000(tomcat) gid=1000(tomcat) groups=1000(tomcat)
5
下载的第一个恶意文件:msf4447.elf
6
呃,第六个没找到,过几天再发出来