安恒八月赛流量分析wp
须知
题目背景:
某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题
1.某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器
2.某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)
3.某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)
4.某公司内网网络被黑客渗透,请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码
5.某公司内网网络被黑客渗透,请分析流量,黑客在robots.txt中找到的flag是什么
6.某公司内网网络被黑客渗透,请分析流量,黑客找到的数据库密码是多少
7.某公司内网网络被黑客渗透,请分析流量,黑客在数据库中找到的hash_code是什么
8.某公司内网网络被黑客渗透,请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么
9.某公司内网网络被黑客渗透,请分析流量,被黑客攻击的web服务器,网卡配置是是什么,提交网卡内网ip
10.某公司内网网络被黑客渗透,请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)
11.某公司内网网络被黑客渗透,请分析流量,黑客获得的vpn的ip是多少
题目环境下载:
链接:https://pan.baidu.com/s/1rlKVlXtCR794E7ZQPhQf6Q
提取码:lulu
参考链接:
安恒八月赛流量分析 (详细的解题过程和思路(mailtwo.pcap,mailtwo1.pcap,mailtone.pcap,mailtwo.pcap等)-CSDN博客
安恒八月月赛流量包writeup | jianghuxia's blog
解题步骤
1.某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器
扫描器类型主要包含以下几种:
awvs:acunetix
netsparker:netsparker
appscan:Appscan
nessus:nessus
sqlmap:sqlmap
打开流量包,过滤http流并浏览
发现扫描器awvs的特征:acunetix痕迹
http contains "wvs"加以确认
往后看更明显,之前只见过sqlmap扫描产生的流量,第一次看到其他扫描器
2.某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)
常见后台地址:
admin
manager
login
system
在流量包尾端发现了admin/login.php,因此确定登录后台为admin
3.某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)
后面粗滤看了一眼,似乎是在爆破账号密码,这里大概就是我们答案的范围
进行再一次的过滤,只要爆破登录的请求包,按照时间排序拉到最后一个,看看倒数几个,发现是在爆破admin账号的密码
一般最后一条是爆破成功,如果不是,往前面找几条也能找到,查看tcp流加以确认
注意看请求IP,我们要找到的是相同请求ip的最后一条,即按序排列的倒数第二条,最后一条是另一个账号密码
4.某公司内网网络被黑客渗透,请分析流量,得到黑客上传的webshell文件名是什么,内容是什么(提交webshell内容的base编码)
都上传文件了,那我们就要过滤post传参的流量了,且通过上一题爆破可得知黑客的ip为192.168.94.59
((http) && (http.request.method == "POST")) && (ip.src == 192.168.94.59)
查找login之后的流量
很轻易的确定了webshell文件名为a.php,webshell密码为1234
tcp contains "<?php @eval"
这我能找到内容就怪了
将其内容进行base64编码提交
5.某公司内网网络被黑客渗透,请分析流量,黑客在robots.txt中找到的flag是什么
直接关键字搜索robots.txt,然后过滤rui
http.request.uri == "/robots.txt"
在返回包里面找到了flag值
6.某公司内网网络被黑客渗透,请分析流量,黑客找到的数据库密码是多少
第二个流量包上来过滤mysql流量就看见了登录返回流量
但是这里的问题是密码被加密了,所以这不是我们想要的,但是我们确定了数据库名为web
在第一个流量包里面过滤dbpass字符,找到了数据库密码,并确定是web账号的密码
7.某公司内网网络被黑客渗透,请分析流量,黑客在数据库中找到的hash_code是什么
关键字查找至第二个时更加明显,借鉴的wp是查找的第一个,请求包里面有关键字符,但hash_code在其返回包内,所以不如我找的这个地方直观
8.某公司内网网络被黑客渗透,请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么
同样关键字大法,搜索到相关信息,账户为admin,密码为一串md5,解密得到明文密码
9.某公司内网网络被黑客渗透,请分析流量,被黑客攻击的web服务器,网卡配置是是什么,提交网卡内网ip
发现了查看网卡命令,追踪tcp流,查看其返回包
10.某公司内网网络被黑客渗透,请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)
我先打开了mailtwo1.pcap,过滤http+post传参的流量
这些都没啥用,过滤不选中,进而缩小范围
就剩三条了,且找到了登录页面的请求包,但是有个问题,加密类型是什么,哪个是真正的密码,按时间排序,最后一条应为真实密码,此流量包未找到加密类型,查看mailtwo.pcap
上来就看到login操作,追踪下tcp流
分析请求包,发现调用aes.js和md5.js,具体的加密形式如上图紫框,红色框是不是很熟悉,第二个流量包里面登录请求页面的url
AES`的`CBC`加密,填充格式为`ZeroPadding`,密钥为字符串`1234567812345678`的`hash`值,偏移量为`1234567812345678
Hash在线计算、md5计算、sha1计算、sha256计算、sha512计算 - 1024Tools
直接看加密步骤,确定要的值是经过md5算法加密得到的,最后解得密码(自己犯了个错,忘记该偏移量了)
11.某公司内网网络被黑客渗透,请分析流量,黑客获得的vpn的ip是多少
没看懂,只能日后再分析了,请参考其他链接
答案
| 题目 | 流量包 | 答案 |
|---|---|---|
| 1.某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 | webone | awvs |
| 2.某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可) | webone | admin |
| 3.某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password) | webone | admin/admin!@#pass123 |
| 4.某公司内网网络被黑客渗透,请分析流量,得到黑客上传的webshell文件名是什么,内容是什么,提交webshell内容的base编码 | webone | a.php PD9waHAgQGV2YWwoJF9QT1NUWzEyMzRdKTs/Pg== |
| 5.某公司内网网络被黑客渗透,请分析流量,黑客在robots.txt中找到的flag是什么 | webone | 87b7cb79481f317bde90c116cf36084b |
| 6.某公司内网网络被黑客渗透,请分析流量,黑客找到的数据库密码是多少 | webone | e667jUPvJjXHvEUv |
| 7.某公司内网网络被黑客渗透,请分析流量,黑客在数据库中找到的hash_code是什么 | webtwo | d1c029893df40cb0f47bcf8f1c3c17ac |
| 8.某公司内网网络被黑客渗透,请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么 | webtwo | edc123!@# |
| 9.某公司内网网络被黑客渗透,请分析流量,被黑客攻击的web服务器,网卡配置是什么,提交网卡内网ip | webone | 10.3.3.100 |
| 10.某公司内网网络被黑客渗透,请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password) | mailtwo mailtwo1 | admin/admin!@#PASS123 |
| 11.某公司内网网络被黑客渗透,请分析流量,黑客获得的vpn的ip是多少 | 10.3.4.3 |
本文来自博客园,作者:kriton,转载请注明原文链接:https://www.cnblogs.com/kriton/articles/18607911
浙公网安备 33010602011771号