Webshell流量分析

考点:冰蝎webshell流量分析+CS4.x流量解密 给了两个 流量包 第一个 ctf1.pcapng 查看其HTTP请求 而在CS中流量特征是基于tls协议 http-beacon 通信中，默认使用 GET 方法向 /dpixel 、/__utm.gif 、/pixel.gif 等地址发起请求，而且下发指令的时候会请求 /submit.php?id=一串数字 ...

还是正常的HTTP流量 既然是webshell一定是看POST流量 对每一个进行追踪tcp流 最终发现 在 流9 (tcp.stream eq 9)存在 base32 –>base64的流量的加密逻辑 ...

主要是和 main.jsp进行通信 浅浅看一下 yjg.txt内容 用jsp写的一些脚本 过滤http流量 可以判断是 冰蝎 的jsp webshell 尝试爆破常用密钥 无果 那么 密钥一定在流量中 看冰蝎动态生成密钥的最后一个返回包 就是明文的key 尝试多试试 解流量包返回的java class进行反编译 可以发现 存在多个请求有类似写入添加操作 将 文件分段传输 ...

考点: 冰蝎流量解密+部分明文攻击 看请求路由可以知道 shell.php是上传的马子 过滤器 http 加密返回包+前16为完整base编码字符 一眼冰蝎流量解密 爆破aes常用密码 就是冰蝎默认aes密码 e45e329feb5d925b 冰蝎从开头流量都是连接初始化之类的,==一般关键数据在后面== 从后向前看发现 对通信流量解密并且处理后 No.1962 request请求数据解密 关键数据 ...