文章目录
- 题目背景
- 一、关卡列表
- 二、解题
- 1. 请分析流量,给出黑客使用的扫描器
- 2. 请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)
- 3. 请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)
- 4. 请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码
- 5. 请分析流量,黑客在robots.txt中找到的flag是什么
- 6. 请分析流量,黑客找到的数据库密码是多少
- 7. 请分析流量,黑客在数据库中找到的hash_code是什么
- 8. 请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么
- 9. 网卡配置是是什么,提交网卡内网ip
- 10. 请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)
- 11. 请分析流量,黑客获得的vpn的ip是多少
- 三、流量包文件
题目背景
某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题
一、关卡列表
-
请分析流量,给出黑客使用的扫描器
-
请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)
-
请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)
-
请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码
-
请分析流量,黑客在robots.txt中找到的flag是什么
-
请分析流量,黑客找到的数据库密码是多少
-
请分析流量,黑客在数据库中找到的hash_code是什么
-
请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么
-
网卡配置是是什么,提交网卡内网ip
-
请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)
-
请分析流量,黑客获得的vpn的ip是多少
二、解题
1. 请分析流量,给出黑客使用的扫描器
打开webone.pcap,按照协议类型排序一下
看到这里是不是比较熟悉?
常用的扫描器也就这几个:awvs,appscan,nessus
刚好这个特征就是awvs的
然后我们使用http contains acunetix过滤
发现大量的awvs的特征,可以说明是用awvs进行扫描的
第一题完成
2. 请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)
登录后台无非就两种方法,POST和GET。因为GET方法比较不安全
在提交的时候url会出现这种情况
可以确认第一步,登陆后台99%使用的是POST方法,直接使用过滤器过滤一下http.request.method=="POST",有rec=login的流量进行追踪
302重定向,基本上说明登陆成功
3. 请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)
在上一题的基础上,一个一个追踪tcp是不可取的,根据上面的结果,我们可以发现黑客的IP是192.168.94.59,rec=login
所以我们可以这样过滤:http.request.method=="POST" && ip.src==192.168.94.59 && http contains "rec=login"
根据经验,我们找到最后一个包,结果就出来了
(admin/admin!@#pass123)
4. 请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码
这题解法我们可以用这句过滤http.request.method=="POST" and ip.src==192.168.94.59 and http
这明显就有问题,如果说一个正常的网站,images下放的是图片,但这里放了一个a.php很让人怀疑是一句话木马,而且啊,在老师的教学中,为了方便起文件直接a.php或者b.php等,所以怀疑这里大概率是有问题了,我们对其中一个进行tcp追踪
看到这里就很明显了吧,一句话木马的特征,1234为传递值,base64加密过的内容
我们对内容解一下
可以确认是一句话木马了
我们再过滤一下tcp contains "<?php @eval"
5. 请分析流量,黑客在robots.txt中找到的flag是什么
题目说robots.txt,然后就过滤哈http contains "robots.txt"
flag:87b7cb79481f317bde90c116cf36084b
6. 请分析流量,黑客找到的数据库密码是多少
直接过滤http数据包,查看数据包的末尾,如果数据库登陆成功,那么http响应码应该为200,并且一般会包含database,逐一查看响应码为200的数据包,即可找到数据库密码http.response.code==200 and http contains "database"
结果显而易见
7. 请分析流量,黑客在数据库中找到的hash_code是什么
打开webtwo.pcap,我们可以利用hash_code过滤一下,因为上一张图已经知道数据库主机的ip,这一条语句可以ip.src==10.3.3.101 and tcp contains "hash_code"
8. 请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么
直接上语句tcp contains "ijnu@test.com"
MD5解码,得到
em。。。这里搜md5在线解密结果都是要开会员,后来用了老师推荐的一个MD5在线
最后得到edc123!@#
9. 网卡配置是是什么,提交网卡内网ip
无外乎也就那几个,eth0,eth1,lo等等,这次直接搜tcp contains "eth0"
我们可以知道,外网ip192.168.32.189,而内网ip10.3.3.100
10. 请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)
11. 请分析流量,黑客获得的vpn的ip是多少
这两题能力有限,还需要多多研究一下(累~)
三、流量包文件
链接:https://pan.baidu.com/s/1VUZSFIfYijvezXw49C1isA
提取码:ls8s
