本文原创作者:一叶飘零
目录
前言
题目描述
题目解析(part 1)
阶段性梳理
题目解析(part 2)
题目答案
后记
前言
本场比赛为2018铁三分区赛最后一场,下面是题目分享:
密码: v6wu
题目描述
1.被攻击的两个服务器的内网ip分别是多少,以下简称服务器1和2(格式:空格分隔,按黑客攻击顺序排列)
2.两台服务器的主机名分别是什么
3.黑客使用了什么工具对服务器1进行的攻击(小写)
4.黑容成功登陆网站后台的账号密码以及验证码是什么(格式user/pass/vcode)
5.黑客向服务器1写入webshell的具体命令是什么(url解码后)
6.服务器1都开启了哪些允许外连的TCP注册端口(端口号从小到大,用空格间隔)
7.服务器1安装的修补程序名称
8.网站根目录的绝对路径(注意:大写,左斜杠,最后要有一个斜杠)
9.黑客使用什么命令或文件进行的内网扫描
10.扫描结果中服务器2开放了哪些端口(端口号从小到大,用空格隔开)
11.黑客执行的什么命令将administrator的密码保存到文件中
12.服务器1的系统管理员administrator的密码是什么
13.黑客进行内外扫描的ip范围(格式:xx.xx.xx.xx~xx.xx.xx.xx)
14.服务器1的mysql的root用户的密码是什么
15.黑客在服务器2中查看了哪个敏感文件(拿到shell之后),请写出绝对路径
16.服务器2的web网站后台账号密码(格式:账号/密码)
17.黑客在redis未授权访问中反弹shell的ip和端口是多少
18.黑客拿到root权限后执行的第二条命令是什么
19.服务器2的root用户密码是什么
20.黑客向服务器2写入webshell的命令
21.pcap中哪些ip发送过无偿ARP包(空格分隔,时间顺序排序)
题目解析(part 1)
首先拿到庞大的数据包,我们的第一选择肯定是找出攻击者,方便后续的大规模过滤筛选,而定位黑客的最直接的方式就是找到大量重复的探测流量,例如目录爆破、sql注入探测等
这里我们可以先过滤http流量,发现最瞩目的是202.1.1.2的sql探测
我们随便挑一个,可以清楚看到,是用sqlmap进行的注入探测,可以确定无误,202.1.1.2即黑客
而受害者为192.168.1.74
故此我们后续的过滤为
(ip.addr == 202.1.1.2 || ip.addr == 192.168.1.74) && http
在后续数据包(第五个数据包)里可以发现另一个被攻击的ip
过滤规则
ip.src == 192.168.1.74 && ip.dst !=202.1.1.2 && http
192.168.2.66
然后是主机名,对于主机名,我们知道,phpinfo是非常好的查看方式,不仅可以获取主机名,还可以知道根目录等有效信息,所以既然问了我们这个问题,我们不妨查看一下黑客是否查找了phpinfo()
使用指令
ip.addr == 192.168.1.74 && http contains "phpinfo"