又一次流量分析

题目

1.攻击者在JEECMS中创建了的账户使用的邮箱是？例如：user01@qq.com
2. 攻击者在什么时候利用创建的账户登录了网站？以数据包时间为准，例如：2011/01/01/01:01:01
3. 攻击者向JEECMS站点中的什么URL传递了需要命令执行的内容？例如：/test/cmd.jsp
4. 攻击者从JEECMS站点中的哪个文件获取到了命令执行的结果？例如：/test/results.txt
5. 攻击者下载的第一个恶意文件的名称是？例如：attack.elf
6. JEECMS站点第一反弹shell至攻击者的哪个IP和端口？例如：1.1.1.1:1111

1

ip.src == 10.1.0.195 && http过滤，再搜索POST包

因为这题是问创建了的账户使用的邮箱，该注册操作基本上都是post包，并且这个包还是form表单上传类型
那么这题就出来了，test3@163.com

2

上一个创建的数据包是4409号，那么攻击者登录了网站的数据包肯定在4409之后，而且也不会相隔很久，我们先下滑，发现4641处是一个login的流量包，我们追踪看看

发现返回302，这里多半不是

往下也有一个login流量包，追踪看看发现返回302且有timeout=20，那这里就不是了

继续查看其他有login的流量

这里有点可疑，那么我们就先保留一下这里的时间 Tue, 21 Feb 2023 02:44:17 GMT（2023年2月21日，格林尼治时间（GMT）上午2点44分17秒）
发现接下去的流量包，基本都和上面我记录时间的流量包特征差不多，且有一个文件上传和目录遍历的操作，正常来说，得登录才能上传文件，所以这里的时间也就找到了

3

先去查看那个长度为296的post包，因为这个包很可以，上传了HTML文件，但上传的限制是image/jpeg

发现这里还真不对，有恶意的代码，尝试在服务器上执行 chmod +x /tmp/Apache-Tomcat8.tar.gz 命令。
那么答案也出来了/member/o_swfAttachsUpload.jspx

4

可以继续下滑看到，这里服务器返回了一个文件的存储路径，攻击者再去访问了这个路径

这里并没有返回命令执行的结果，那就继续往下看，继续看这个接口的包即可

这里返回了tomcat8，/u/cms/www/202302/21024428btw4.html

但我在重新整理的时候发现访问/u/cms/www/202302/21024418310h.html回显uid=1000(tomcat) gid=1000(tomcat) groups=1000(tomcat)

所以应该是/u/cms/www/202302/21024418310h.html回显uid=1000(tomcat) gid=1000(tomcat) groups=1000(tomcat)

5

下载的第一个恶意文件：msf4447.elf

6

呃，第六个没找到，过几天再发出来