流量分析, 应急响应, Webshell, shiro, rememberMeTags:流量分析,应急响应,Webshell,shiro,rememberMe
0x00. 题目
境外黑客组织针对境内某家企业公网暴露的资产,利用web漏洞成功渗透其便捷服务器,进而非法获取了服务器上的关键文件。我方安全监测团队迅速响应,在安全设备上捕获了攻击事件期间的流量数据。帮忙分析这些流量,以确定被窃取的文件名称。
提交flag为flag{文件的MD5值}
附件路径:https://pan.baidu.com/s/1GyH7kitkMYywGC9YJeQLJA?pwd=Zmxh#list/path=/CTF附件
附件名称:20250827_黔西南网信杯_丢失的数据.zip
0x01. WP
1. ### 分析流量特征
发现rememberMe=xxx,确定为Shiro反序列化漏洞攻击
2. 分析最后一个http响应包
从响应包数据特征来看,下载了一个docx文件
3. 解析请求包的rememberMe数据
工具下载路径:https://github.com/r00tuser111/SerializationDumper-Shiro
镜像下载路径:https://pan.baidu.com/s/1GyH7kitkMYywGC9YJeQLJA?pwd=Zmxh#list/path=/CTF附件
D:\SerializationDumper-Shiro-master\SerializationDumper-Shiro-master>java -jar SerializationDumper-Shiro.jar -s TynUI6D4wOvtlQZPCrOJ7k6Babf7XEQzmJvpWvR... ...
[+] Shiro Cookie 序列化数据解析 | Author:水泡泡
[+] 默认碰撞的密钥为广泛流传的100 key
[+] Shiro Cookie 加密密钥为:fCq+/xW488hMTCD+cmJ3aQ==
[+] 使用的Gadeget为TemplatesImpl,bytecodes中的代码存放在bytecodes.class,可直接用idea等查看
4. 查看输出文件
所以泄露的文件为政务网络规划图.docx
flag为flag{4d6d9c0e6d8492708ff91bef790f4b11}