一、题目背景
某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题
二、关卡列表
1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器
2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)
3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)
<?php @eval($_POST['pass']); ?>
4 某公司内网网络被黑客渗透,请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码
5 某公司内网网络被黑客渗透,请分析流量,黑客在robots.txt中找到的flag是什么
6 某公司内网网络被黑客渗透,请分析流量,黑客找到的数据库密码是多少
7 某公司内网网络被黑客渗透,请分析流量,黑客在数据库中找到的hash_code是什么
8 某公司内网网络被黑客渗透,请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么
9 某公司内网网络被黑客渗透,请分析流量,被黑客攻击的web服务器,网卡配置是是什么,提交网卡内网ip
10 某公司内网网络被黑客渗透,请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)
11某公司内网网络被黑客渗透,请分析流量,黑客获得的vpn的ip是多少
三做题过程
1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器
在打开webone.pcap数据包,过滤http协议,可以明显的看到,有awvs的特征,说明黑客使用的扫描器是用awvs
2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)
需要登陆后台肯定是使用POST登录,我们可以过滤POST关键字,然后再追踪TCP流可以看到有302重定向的字样,所以可以断定黑客登陆的后台
3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)
首先很容易可以看出黑客所使用的IP地址,然后通过IP地址 和 包含内容过滤一下,得到如下数据,可想而知最后一个包就是黑客所用的账号密码。
4 某公司内网网络被黑客渗透,请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码
通过以下过滤语句可以看出是黑客上传了一个a.php文件,此时可以猜测大概率为一句话木马
再通过tcp contains "<?php @eval"语句筛选,再跟踪tcp流可以看到其内容
5 某公司内网网络被黑客渗透,请分析流量,黑客在robots.txt中找到的flag是什么
直接导出http对象,在文本过滤器中选择robots.txt,将文件保存下来,即可获得flag
6 某公司内网网络被黑客渗透,请分析流量,黑客找到的数据库密码是多少
因为要登陆数据库 我们可以使用如下语句过滤,拉到最下面可以看到有状态码200的字样,点进去可以的到账号密码还有数据库内网ip
7 某公司内网网络被黑客渗透,请分析流量,黑客在数据库中找到的hash_code是什么
通过此过滤语句ip.src==10.3.3.101 and tcp contains "hash_code",然后跟踪tcp流得到HASH_CODE
8 某公司内网网络被黑客渗透,请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么
然后再进行解密,可以得到密码。
9 某公司内网网络被黑客渗透,请分析流量,被黑客攻击的web服务器,网卡配置是是什么,提交网卡内网ip
一般网卡名为eth0或者ens33 过滤一下 追踪tcp流就可以得到
10 某公司内网网络被黑客渗透,请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)
通过过滤命令筛选出包含mail的包,点进去会发现他的密码是通过AES方式加密
然后再追踪其TCP流可以得知 偏移量 和密码 ,现在只需要知道账号和正确的加密信息就可以解密
再通过此过滤(http contains "{\"success\":true}" or http.request.method=="POST") and ip.addr==192.168.94.59 ,得知密文为+ZgE14UGcFcyRGLI0/ZXPQ==,再通过解密工具进行解密,最终密码为: admin!@#PASS123 账号为:admin
4812
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
