這是在某CTF上遇到的一個問題。
然而我對於wireshark的使用我卻一知半解,打開pcapng文件發現只有30多個包,感覺還是挺適合新手練手的,所有在這里做個記錄。
1、打開wireshark,先粗略看看這個流量包中有什么內容:
發現包中有幾個值得關注的地方:
①只有兩個IP:192.168.179.246、192.168.179.245
②協議只有HTTP和TCP
③HTTP包中有PSOT方法
其實這里就可以做個初步判斷了,是否是簡單的webshell上傳?
再結合點擊一個POST包看一下:
在紅框中能看出這是.246在對.245上傳一句話木馬。
2、 跟蹤包的TCP流:
看一下這一波上傳都做了什么騷操作:右鍵那個POST包-追蹤流-TCP流
得到這一操作的整個TCP流程:紅色是.246往.245發送的包,藍色是.245返回256的包。
在返回包的發現,在.245的文件夾內有reverseshell.zip這個名稱的包。因為文件名,我們可以猜測這個就是黑客上傳的壓縮包。
再在TCP流中發現菜刀z1這個參數有內容,證明菜刀在進行上傳操作:
3、把二進制代碼還原成為zip:
思路是把z1的中二進制內容復制到十六進制的編輯器,然后導出為zip文件。
我這里用的是Hex Fiend,把z1內容復制進去。
左邊那一欄是z1的內容。
另存為a.zip,然后解壓,搞定。