[玄机]流量特征分析-蚁剑流量分析

流量特征分析-蚁剑流量分析        题目做法及思路解析（个人分享）

AntSword（蚁剑）是一款开源的网络安全工具，常用于网络渗透测试和攻击。它可以远程连接并控制被攻击计算机，执行命令、上传下载文件等操作。

蚁剑与网站进行数据交互的过程中，发送的数据是经过编码器编码后再发送，支持的编码方式有default（默认的）、base64、chr、chr16、rot13；网站返回的数据经过解码器中的编码方式编码后返回，支持的编码方式有default、base64、rot13。

问一：木马的连接密码是多少

题目思路：

题目没有给出提示，但根据标题命名得知分析的是蚁剑流量包，所以我们可以直接查看http数据包进行分析。通过对统计数据的分析，我们可以得到http数据大致的访问信息，再通过查询语句过滤流量包得到成功访问的流量包

方法：

1、左键点击“统计”->“HTTP”->“分组计数器”查看分析HTTP流量数据

2、http contains "200" 查看http协议中包含200（成功登录返回值）的流量包

3、右键其中一个请求包，点击“追踪流”->“HTTP流”，进行查看分析，得到木马的连接密码是 "1"

flag{1}

问二：黑客执行的第一个命令是什么

题目思路：

通过分析刚才语句过滤后的流量包，我们发现这些就是蚁剑连接执行命令的流量包，可以直接根据流量包顺序进行分析查看分析，解码后（根据编码特征发现是Base64编码）得到第一个命令执行语句

方法：

1、查看第1个流量包中执行的命令信息

2、右键编码“Value”位置，点击“分组字节流”，开始位置调整为“2”，解码为调整为“Base64”，查看流量包执行的命令内容，得到第一个执行的命令 "id"（查看当前用户uid）

蚁剑会在编码前加两位随机生成的字符，所以需要调整开始位置

flag{id}

问三：黑客读取了哪个文件的内容，提交文件绝对路径

题目思路：

根据之前的题目，我们已经找到了蚁剑连接的流量，以及执行的命令。继续对流量进行分析，查看流量包内容，得到读取的文件绝对路径

方法：

1、依次查看请求流量包以及以及返回流量包，第三个返回包中回显了大量信息，猜测查看了文件内容（其实根据经验可以直接看出查看的是/etc/passwd文件）

2、点击第3个请求包，右键编码“Value”位置，位置，点击“分组字节流”，开始位置调整为“2”，解码为调整为“Base64”，查看流量包执行的命令内容，得到黑客查看文件命令 "cat /etc/passwd"

flag{/etc/passwd}

问四：黑客上传了什么文件到服务器，提交文件名

题目思路：

根据之前做的分析，继续查看后面的流量包。通过分析回显流量包，发现第5个返回包与第2个返回包相比多了一个文件，由此可以得到文件名，当然我们也可以直接分析解码得到上传文件名

方法：

1、点击第4个请求包，右键编码“Value”位置，位置，点击“分组字节流”，开始位置调整为“2”，解码为调整为“Base64”，查看流量包执行的命令内容，得到黑客上传文件名 "flag.txt"

flag{flag.txt}

问五：黑客上传的文件内容是什么

题目思路：

我们在得到黑客上传的文件名后，通过查看返回包我们可以发现上传文件与执行系统命令的请求数据并不相同，只能查看请求数据包进行分析，通过对请求包数据的解码分析得到上传文件内容

方法：

1、点击第4个请求包，右键“追踪流”->“HTTP流”，将编码复制，进行解码

2、首先进行URL解码（直接根据编码特征进行判断），查看后发现流量包后面有两段编码

3、最后一段编码明显是Base64编码（解码后就是上传文件的绝对路径），猜测第二段编码为文件内容（蚁剑上传的文件会对内容进行16进制加密），进行解密得到文件内容 "flag{write_flag}"

如果仔细分析之前的流量包，我们可以发现，在执行命令时此位置同样会出现编码（Base64编码），解码后为 "/bin/sh"，猜测蚁剑使用 "/bin/sh" 来执行系统命令

flag{write_flag}

问六：黑客下载了哪个文件，提交文件绝对路径

题目思路：

这个与之前相同，直接查看流量包信息，解码后即可获得

方法：

1、点击第6个请求包，右键编码“Value”位置，位置，点击“分组字节流”，开始位置调整为“2”，解码为调整为“Base64”，查看流量包执行的命令内容，得到黑客下在的文件名 "config.php"

flag{/var/www/html/config.php}

题目网址【玄机】：https://xj.edisec.net/