安恒8月应急响应题目(流量分析)--1

作者 by Yichen / 2023-08-11 / 暂无评论 / 17 个足迹

题目链接:
https://pan.baidu.com/s/16zQfOfy1PSVwcKYYEjrE7Q?pwd=9n24
提取码:9n24

题目背景

某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题

给出黑客使用的扫描器
得到黑客扫描到的登陆后台是(相对路径即可) 
得到黑客使用了什么账号密码登陆了web后台(形式:username/password)
得到黑客上传的webshell文件名是什么,内容是什么,提交webshell内容的base编码
黑客在robots.txt中找到的flag是什么
黑客找到的数据库密码是多少
黑客在数据库中找到的hash_code是什么
黑客破解了账号ijnu@test.com得到的密码是什么
被黑客攻击的web服务器,网卡配置是是什么,提交网卡内网ip
黑客使用了什么账号登陆了mail系统(形式: username/password)
黑客获得的vpn,ip是多少

第一题 给出黑客使用的扫描器

扫描器基本就是前置里发的几种,所以可以挨个试下
比如http contains"wvs"

1686660000911-3f317f68-7366-4e6d-8426-ec8f8b67b578.png
这里发现很多awvs扫描的痕迹,所以确定为awvs

第二题 得到黑客扫描到的登陆后台是(相对路径即可)

对于登录界面一般就是
admin
manager
login
system
这几种,因为对于登录,出于安全考虑一般都会使用POST方法传参,因此可以这样搜索
http.request.method=="POST"&&http contains"admin"
1686662220137-b04e0b08-4b54-427a-b201-041e4130f099.png
发现许多/admin/login.php
进行一下验证
1686662332590-2c5ac50a-9f45-4816-9f7e-b7da3849919e.png
追踪一下登陆的tcp流,若如图出现302成功跳转说明找对了

第三题 得到黑客使用了什么账号密码登陆了web后台(形式:username/password)

先从登录界面的最后一次请求开始找,1686662629892-b40f5f3e-1745-41df-a407-76e6e9d780d4.png
发现这个,大致浏览一下IP判断这个为公司人员的正常登录,
在往上找发现1686662774102-ba516499-ab84-4740-9f73-a1de827a8ca5.png
这个大概就是登陆的用户和密码了,验证一下
1686662749985-0917fde1-7253-4191-932f-b693696b0adb.png)还是追踪tcp流看看是否成功跳转,发现成功
确定密码,同时也确定了黑客的IP:192.168.94.95

第四题 得到黑客上传的webshell文件名是什么,内容是什么,提交webshell内容的base编码

对于文件,上传时一般使用POST方法,因此可以使用
http.request.method=="POST"&&ip.src==192.168.94.59
这样来查询1686663924222-1794b3cb-cd34-4369-a407-848ad5f58c6d.png
这里发现一个image下有个php文件可以推断有问题,点开一看,就发现编码了。

第五题 黑客在robots.txt中找到的flag是什么

既然都这么说了,那就http contains"robots.txt"查一下
1686664430465-053000ec-0daa-4f36-8482-1d4d2e31559e.png
然后追踪一下tcp流1686664530889-a6aca513-3d82-4c1a-9b11-e7e13f2da677.png
找到flag
补充一点知识:(Robots是站点与spider沟通的重要渠道,站点通过robots文件声明本网站中不想被搜索引擎收录的部分或者指定搜索引擎只收录特定的部分。搜索引擎使用spider程序自动访问互联网上的网页并获取网页信息。spider在访问一个网站时,会首先会检查该网站的根域下是否有一个叫做 robots.txt的纯文本文件,这个文件用于指定spider在您网站上的抓取范围。您可以在您的网站中创建一个robots.txt,在文件中声明 该网站中不想被搜索引擎收录的部分或者指定搜索引擎只收录特定的部分。)

第六题 黑客找到的数据库密码是多少

数据库密码就涉及到三个关键字,分别是mysql、database、password
要找密码就代表数据库已经登录成功了 那个http的响应码一定是200 并且一般会包含database
这样来检查
http.response.code== 200&&http contains"database"
就找到一条成功登录,追踪一下tcp流,找到登录密码1686665361905-97d53f9a-f3c2-4f4a-b887-513b73d1b912.png
(这里好像不用追踪tcp流直接在database里就是密码)
同时也知道了数据库的ip:10.3.3.101

第七题 黑客在数据库中找到的hash_code是什么

这时应该要换第二个包了(关于数据库的web2)
因为已知数据库的IP:10.3.3.101
可以使用(注意这里换了数据库,而数据库基本都通过tcp协议)
tcp contains "hash_code" && ip.src == 10.3.3.101
1686667293143-d3681499-6b48-4785-bc43-4dac482e9393.png
这里先查看搜索到的包发现对于hash的查询所以追踪tcp流然后寻找返回值如图

第八题 黑客破解了账号ijnu@test.com得到的密码是什么

先过滤
tcp contains"ijnu@test.com"
然后继续追踪tcp流1686668536694-69c2a5d8-e462-4a05-870f-c6d71110a9c6.png
在TCP流中找到这个密码,MD5解密得edc123@#

第九题 被黑客攻击的web服务器,网卡配置是是什么,提交网卡内网ip

回到服务器包也就是web1
大致了解了一下网卡包括eth0 eth1 ens33 lo几种,
试着搜一下
tcp contains"eth0"
追踪tcp流1686669254218-c272b1af-69c1-4b53-9376-6d426ba4d485.png
得到内网ip 10.3.3.100

   外网ip 162.168.32.189

独特见解