JEECMS流量分析

题目溯源

1
2
3
4
5
6
1. 攻击者在JEECMS中创建了的账户使用的邮箱是?例如:user01@qq.com
2. 攻击者在什么时候利用创建的账户登录了网站?以数据包的时间为准,例如:2011/01/01/01:01:01
3. 攻击者向JEECMS站点中的什么URL传递了需要命令执行的内容?例如:/test/cmd.jsp
4. 攻击者从JEECMS站点中的哪个文件获取到了命令执行的结果?例如:/test/results.txt
5. 攻击者下载的第一个恶意文件的名称是?例如:attack.elf
6. JEECMS站点第一反弹SHELL至攻击者的哪个IP和端口?例如:1.1.1.1:1111

攻击者在JEECMS中创建了的账户使用的邮箱是?

思考过程:注册用户肯定有POST请求的行为

所以使用http.request.method==POST 过滤,但是发现还是不够精确,数据包还是有很多,在这个基础上继续增加过滤条件

image-20250317134553579

攻击者在什么时候利用创建的账户登录了网站?

由于我们刚刚知道了攻击者创建的用户,所以直接过滤即可

image-20250317135504081

image-20250317135407032

攻击者向JEECMS站点中的什么URL传递了需要命令执行的内容?

在同一个流里面,可以看到攻击行为是一个freemarker的ssti注入,url是/member/o_swfAttachsUpload.jspx

image-20250317140317650

攻击者从JEECMS站点中的哪个文件获取到了命令执行的结果

思考过程:现在服务器ip我们已知,而且攻击行为肯定是在登录之后才进行的,所以找到login之后的攻击性行为。

image-20250317140158658

追踪流可以知道是在/u/cms/www/202302/21024418310h.html

image-20250317140648215

攻击者下载的第一个恶意文件的名称是?

当时做的时候脑袋没转弯,没做出来。

攻击者是通过/member/o_swfAttachsUpload.jspx 来执行命令的,那他肯定还有后续的命令执行啊。继续往后找就好了

image-20250317141956579

JEECMS站点第一反弹SHELL至攻击者的哪个IP和端口?

这里涉及一个wireshark的使用小技巧,选中我们想要的数据报,再写过滤条件,会自动定位到我们选中的数据包之后的流量。

image-20250317144645789

这里就可以清晰的看到反弹shell的IP和端口。

image-20250317142240116

参考链接

第二期JEECMS流量分析讲解


JEECMS流量分析
https://sp4rks3.github.io/2025/03/17/应急响应/JEECMS流量分析/
作者
Sp4rks3
发布于
2025年3月17日
许可协议