一、题目背景
某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题
二、关卡列表
1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器
2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)
3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)
<?php @eval($_POST['pass']); ?>4 某公司内网网络被黑客渗透,请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码
5 某公司内网网络被黑客渗透,请分析流量,黑客在robots.txt中找到的flag是什么
6 某公司内网网络被黑客渗透,请分析流量,黑客找到的数据库密码是多少
7 某公司内网网络被黑客渗透,请分析流量,黑客在数据库中找到的hash_code是什么
8 某公司内网网络被黑客渗透,请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么
9 某公司内网网络被黑客渗透,请分析流量,被黑客攻击的web服务器,网卡配置是是什么,提交网卡内网ip
10 某公司内网网络被黑客渗透,请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)
11某公司内网网络被黑客渗透,请分析流量,黑客获得的vpn的ip是多少
三、具体过程
1.黑客使用的扫描器
所以结合上面所说的扫描器的特征进行过滤一下
http contains acunetix
故我们知道黑客使用的扫描器为awvs
从图中我们也可以得到扫描者的IP为192.168.94.59
2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)
登录后台都是POST传参,直接使用过滤器过滤一下
http.request.method=="POST"
从第一个包就可以看出后台地址,然后我们追踪TCP流,发现302重定向出现,证明后台地址登录成功
所以后台登录系统为login
3 黑客登录使用的账号密码
但是查看过后我发现有很多302重定向登陆成功的结果,发现了很多账号密码,为了确定黑客所使用的,我找了一下黑客的ip地址,就是刚刚看到使用awvs进行扫描的源地址一定就是黑客的ip。然后使用过滤器再次过滤一下。ip为192.168.94.59
http.request.method=="POST" and ip.addr==192.168.94.59 and http contains "rec=login"
*rec=login为后台地址
其他的数据包都在尝试密码连接,我们拉到最后一个可以知道后台的账号和密码 然后TCP流追踪一下 302重定向 所以我们知道黑客用的是
账号:admin
密码:admin!@#pass123
4 webshell文件名和内容
通过下面的语句过滤一下数据,翻阅数据包后发现了一个a.php可能有点蹊跷,但是没有发现他是如何上传的,不过追踪一下TCP流