JEECMS流量分析

题目溯源

1. 攻击者在JEECMS中创建了的账户使用的邮箱是？例如：user01@qq.com
2. 攻击者在什么时候利用创建的账户登录了网站？以数据包的时间为准，例如：2011/01/01/01:01:01
3. 攻击者向JEECMS站点中的什么URL传递了需要命令执行的内容？例如：/test/cmd.jsp
4. 攻击者从JEECMS站点中的哪个文件获取到了命令执行的结果？例如：/test/results.txt
5. 攻击者下载的第一个恶意文件的名称是？例如：attack.elf
6. JEECMS站点第一反弹SHELL至攻击者的哪个IP和端口？例如：1.1.1.1:1111

攻击者在JEECMS中创建了的账户使用的邮箱是？

思考过程：注册用户肯定有POST请求的行为

所以使用http.request.method==POST 过滤，但是发现还是不够精确，数据包还是有很多，在这个基础上继续增加过滤条件

攻击者在什么时候利用创建的账户登录了网站？

由于我们刚刚知道了攻击者创建的用户，所以直接过滤即可

攻击者向JEECMS站点中的什么URL传递了需要命令执行的内容？

在同一个流里面，可以看到攻击行为是一个freemarker的ssti注入，url是/member/o_swfAttachsUpload.jspx

攻击者从JEECMS站点中的哪个文件获取到了命令执行的结果

思考过程：现在服务器ip我们已知，而且攻击行为肯定是在登录之后才进行的，所以找到login之后的攻击性行为。

追踪流可以知道是在/u/cms/www/202302/21024418310h.html

攻击者下载的第一个恶意文件的名称是？

当时做的时候脑袋没转弯，没做出来。

攻击者是通过/member/o_swfAttachsUpload.jspx 来执行命令的，那他肯定还有后续的命令执行啊。继续往后找就好了

JEECMS站点第一反弹SHELL至攻击者的哪个IP和端口？

这里涉及一个wireshark的使用小技巧，选中我们想要的数据报，再写过滤条件，会自动定位到我们选中的数据包之后的流量。

这里就可以清晰的看到反弹shell的IP和端口。

参考链接

第二期JEECMS流量分析讲解