文章描述了一个网络安全分析过程,涉及追踪流104以获取登录信息,发现base64编码写入PHP文件,并在日志中找到flag。通过tcp流分析,识别出whoami命令的执行和www-data用户。此外,还解析了frpc配置文件,暴露了ip地址及加密的用户名和密码。
1.追踪流找到流104,查看登录用户名和密码Admin123!@#
1.查看tcp流发现将一串base64写入到了/var/www/html/1.php中
/var/www/html/data/Runtime/Logs/Home/21_08_07.log拼接一下得到flag
1.我们发现流317使用了whoami命令查询当前登录用户名
2.查看返回值通过查看http追踪流可以看到user/group为www-data用户
1.写入了一串base64到1.php
1.分析1.phph查看到执行了ls,一个可以的文件frpc.ini,可以判断该文件为某工具软件的配置ini文件,那么代理工具的名字为frpc
1.查看tcp流, 将参数进行hex解析,得到代理工具所用的配置
ip为192.168.239.123
1.接上题 得到的解密结果
用户名和密码为
0HDFt16cLQJ#JTN276Gp
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
