题目所需流量包:
链接:https://pan.baidu.com/s/1VprgAey4UQlXkWyrpCORBg?pwd=o4vw
提取码:o4vw
一.题目背景
某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题。
二.关卡列表
某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器?
某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是?
某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台?
某公司内网网络被黑客渗透,请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码?
某公司内网网络被黑客渗透,请分析流量,黑客在robots.txt中找到的flag是什么?
某公司内网网络被黑客渗透,请分析流量,黑客找到的数据库密码是多少?
某公司内网网络被黑客渗透,请分析流量,黑客在数据库中找到的hash_code是什么?
某公司内网网络被黑客渗透,请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么?
某公司内网网络被黑客渗透,请分析流量,被黑客攻击的web服务器,网卡配置是是什么,提交网卡内网ip?
某公司内网网络被黑客渗透,请分析流量,黑客使用了什么账号登陆?
某公司内网网络被黑客渗透,请分析流量,黑客获得的vpn的ip是多少?
三.分析流程
1.黑客使用的扫描器
打开webone.pcap,根据上述背景分析和所给的扫描器特征进行过滤
http contains acunetix
根据过滤之后结果可以知道黑客使用的扫描器为awvs,同样可以看到扫描者的IP地址为192.168.94.59
2.黑客扫描到的登陆后台
后台登录都是POST传参,直接使用过滤器
http.request.method=="POST"