石家庄知名网站,洛阳市河阳建设工程有限公司网站,网站建设交流论坛,ps网站主页按钮怎么做文章目录
题目背景一、关卡列表二、解题1. 请分析流量#xff0c;给出黑客使用的扫描器2. 请分析流量#xff0c;得到黑客扫描到的登陆后台是(相对路径即可)3. 请分析流量#xff0c;得到黑客使用了什么账号密码登陆了web后台(形式:username/password)4. 请分析流量#x…文章目录
题目背景一、关卡列表二、解题1. 请分析流量给出黑客使用的扫描器2. 请分析流量得到黑客扫描到的登陆后台是(相对路径即可)3. 请分析流量得到黑客使用了什么账号密码登陆了web后台(形式:username/password)4. 请分析流量得到黑客上传的webshell文件名是内容是什么,提交webshell内容的base编码5. 请分析流量黑客在robots.txt中找到的flag是什么6. 请分析流量黑客找到的数据库密码是多少7. 请分析流量黑客在数据库中找到的hash_code是什么8. 请分析流量黑客破解了账号ijnutest.com得到的密码是什么9. 网卡配置是是什么提交网卡内网ip10. 请分析流量黑客使用了什么账号登陆了mail系统形式: username/password11. 请分析流量黑客获得的vpn的ip是多少 三、流量包文件 题目背景
某公司内网网络被黑客渗透简单了解黑客首先攻击了一台web服务器破解了后台的账户密码随之利用破解的账号密码登陆了mail系统然后获取了vpn的申请方式然后登陆了vpn在内网pwn掉了一台打印机请根据提供的流量包回答下面有关问题
一、关卡列表 请分析流量给出黑客使用的扫描器 请分析流量得到黑客扫描到的登陆后台是(相对路径即可) 请分析流量得到黑客使用了什么账号密码登陆了web后台(形式:username/password) 请分析流量得到黑客上传的webshell文件名是内容是什么,提交webshell内容的base编码 请分析流量黑客在robots.txt中找到的flag是什么 请分析流量黑客找到的数据库密码是多少 请分析流量黑客在数据库中找到的hash_code是什么 请分析流量黑客破解了账号ijnutest.com得到的密码是什么 网卡配置是是什么提交网卡内网ip 请分析流量黑客使用了什么账号登陆了mail系统形式: username/password 请分析流量黑客获得的vpn的ip是多少
二、解题
1. 请分析流量给出黑客使用的扫描器
打开webone.pcap,按照协议类型排序一下 看到这里是不是比较熟悉 常用的扫描器也就这几个awvsappscannessus 刚好这个特征就是awvs的 然后我们使用http contains acunetix过滤 发现大量的awvs的特征可以说明是用awvs进行扫描的 第一题完成
2. 请分析流量得到黑客扫描到的登陆后台是(相对路径即可)
登录后台无非就两种方法POST和GET。因为GET方法比较不安全 在提交的时候url会出现这种情况 可以确认第一步登陆后台99%使用的是POST方法直接使用过滤器过滤一下http.request.methodPOST有reclogin的流量进行追踪 302重定向基本上说明登陆成功
3. 请分析流量得到黑客使用了什么账号密码登陆了web后台(形式:username/password)
在上一题的基础上一个一个追踪tcp是不可取的根据上面的结果我们可以发现黑客的IP是192.168.94.59reclogin 所以我们可以这样过滤http.request.methodPOST ip.src192.168.94.59 http contains reclogin 根据经验我们找到最后一个包结果就出来了 admin/admin!#pass123
4. 请分析流量得到黑客上传的webshell文件名是内容是什么,提交webshell内容的base编码
这题解法我们可以用这句过滤http.request.methodPOST and ip.src192.168.94.59 and http 这明显就有问题如果说一个正常的网站images下放的是图片但这里放了一个a.php很让人怀疑是一句话木马而且啊在老师的教学中为了方便起文件直接a.php或者b.php等所以怀疑这里大概率是有问题了我们对其中一个进行tcp追踪
看到这里就很明显了吧一句话木马的特征1234为传递值base64加密过的内容 我们对内容解一下 可以确认是一句话木马了 我们再过滤一下tcp contains ?php eval
5. 请分析流量黑客在robots.txt中找到的flag是什么
题目说robots.txt然后就过滤哈http contains robots.txt flag:87b7cb79481f317bde90c116cf36084b
6. 请分析流量黑客找到的数据库密码是多少
直接过滤http数据包查看数据包的末尾如果数据库登陆成功那么http响应码应该为200,并且一般会包含database逐一查看响应码为200的数据包即可找到数据库密码http.response.code200 and http contains database 结果显而易见
7. 请分析流量黑客在数据库中找到的hash_code是什么
打开webtwo.pcap我们可以利用hash_code过滤一下因为上一张图已经知道数据库主机的ip这一条语句可以ip.src10.3.3.101 and tcp contains hash_code
8. 请分析流量黑客破解了账号ijnutest.com得到的密码是什么
直接上语句tcp contains ijnutest.com MD5解码得到 em。。。这里搜md5在线解密结果都是要开会员后来用了老师推荐的一个MD5在线 最后得到edc123!#
9. 网卡配置是是什么提交网卡内网ip
无外乎也就那几个eth0eth1lo等等这次直接搜tcp contains eth0 我们可以知道外网ip192.168.32.189而内网ip10.3.3.100
10. 请分析流量黑客使用了什么账号登陆了mail系统形式: username/password
11. 请分析流量黑客获得的vpn的ip是多少
最后两题。参考文章https://blog.csdn.net/W981113/article/details/122487826
一点小tip
在做题过程中发现如果数据包里出现中文就会乱码。这时候打开追踪TCP流选择原始数据然后save as 文本文件即可解决乱码
三、流量包文件
链接https://pan.baidu.com/s/1VUZSFIfYijvezXw49C1isA 提取码ls8s
