一、第六章 流量特征分析-waf 上的截获的黑客攻击流量
有需要玄机靶场邀请码的可以后台私聊我https://xj.edisec.net/
题:应急响应工程师小徐在 waf 上下载了一段黑客的攻击流量,请你分析黑客的攻击流量,并且找到对应的关键信息提供给应急小组协助修复漏洞
1.黑客成功登录系统的密码 flag{xxxxxxxxxxxxxxx}
2.黑客发现的关键字符串 flag{xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx}
3.黑客找到的数据库密码 flag{xxxxxxxxxxxxxxxx}
0x00、思路
-
第一小问
通过wireshark分析pcap包,直接过滤条件选择=“http.request.method==POST”
我们观察登录路径,找到login.php关键词。其实在这里还是能看到好多POST login.php的报文。我们通过wireshark默认的时间排序,去找到最后仍然在post login.php的包,去尝试寻找flag。那如果想更精准的确定是哪个包的话,我们可以通过追踪这条数据流,去看这条数据流的上下报文,通过观察目标机和发起机的响应报文判断是否成功。
正确答案:admin!@#pass123
-
第二小问
依据上一问,找到攻击者成功拿到密码登录的信息,根据wireshark依时间排序的流量继续看,该数据包是在No.733517。我们去过滤http协议,然后找到733517去观察前后数据包信息。
-
\
我们此时找到No.733517,去查看后续hack机-192.168.94.59和目标机-192.168.32.189的请求报文和回显报文,尽量多关注回显报文。一点一点找,看到可以flag,拿去尝试,拿下。
-
第三小问
顺着第二小问的思路,继续往下看。图片中可以看到,在No.734555和No.734560是有POST a.php这个数据的,应该是一个webshell马。通过马子读到了database的配置信息,其中包含dbpass。
-
投机
利用工具解决——>CTF流量分析
2、flag{87b7cb79481f317bde90c116cf36084b}
3、flag{e667jUPvJjXHvEUv}
个人传送门:
扫一扫
1604
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
