玄机流量特征分析-常⻅攻击事件 tomcat

主要观点总结

文章描述了关于网络安全的一系列挑战和攻击场景，包括发现可疑活动、确定攻击者IP和位置、找到web服务器管理面板的访问端口、识别攻击者使用的工具、找到攻击者通过暴力破解方式登录的用户名和密码、识别攻击者上传的恶意文件以及维持提权后的登录的关键信息。

关键观点总结

关键观点1: flag1：在web服务器上发现可疑活动，分析扫描行为后提交攻击者IP，格式为flag{ip}。

通过流量分析识别恶意扫描行为，提交攻击者的IP。

关键观点2: flag2：找到攻击者IP后，通过技术手段确定其所在地址，格式为flag{城市英文小写}。

使用在线网站反查IP地址以获取物理地址。

关键观点3: flag3：找到web服务器管理面板的访问端口，格式为flag{端口号}。

分析数据包，找到web服务器管理面板的访问端口，如host-manager和manager目录的访问端口8080。

关键观点4: flag4：识别攻击者使用的工具，格式为flag{名称}。

根据扫描工具的指纹特征在User-Agent头中识别工具，如gobuster。

关键观点5: flag5：找到攻击者通过暴力破解方式登录成功的用户名和密码，格式为flag{用户名-密码}。

分析流量，找到攻击者登录成功的最后数据包，获取账号密码，如flag{root-123}。

关键观点6: flag6：攻击者上传恶意文件，分析流量提交恶意文件的名称，格式为flag{文件名}。

找到上传文件的数据包，追踪流以找到恶意文件的名称。

关键观点7: flag7：攻击者想要维持提权成功后的登录，分析流量后提交关键信息。

从上传war包的数据包之后的流中，查找计划任务命令以获取关键信息。

免责声明