网络安全——流量分析

发布时间:2022-10-03 17:00

一、题目背景

某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了的申请方式,然后登陆了,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题

二、关卡列表

1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器

2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)

3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)

4 某公司内网网络被黑客渗透,请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码

5 某公司内网网络被黑客渗透,请分析流量,黑客在robots.txt中找到的flag是什么

6 某公司内网网络被黑客渗透,请分析流量,黑客找到的数据库密码是多少
7 某公司内网网络被黑客渗透,请分析流量,黑客在数据库中找到的hash_code是什么

8 某公司内网网络被黑客渗透,请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么

9 某公司内网网络被黑客渗透,请分析流量,被黑客攻击的web服务器,网卡配置是是什么,提交网卡内网ip

10 某公司内网网络被黑客渗透,请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)

11某公司内网网络被黑客渗透,请分析流量,黑客获得的的ip是多少

三、解题过程

1.黑客使用的扫描器

广泛使用的扫描器:awvs appscan nessus

这是awvs的图标
网络安全——流量分析_第1张图片

打开webone.pcap数据包,查找是否有相关awvs协议特征

http contains acunetix

网络安全——流量分析_第2张图片

说明是使用awvs进行扫描的

2.黑客扫描到的登陆后台

后台登录基本都是使用POST方法

http.request.method=="POST"

在这里插入图片描述

找到数据,使用右键追踪TCP数据流

在这里插入图片描述

发现有302重定向,就是登陆成功了

网络安全——流量分析_第3张图片

说明是使用post方法登陆后台的,同时得到了黑客的IP地址为192.168.94.59

3.黑客登录使用的账号密码

设置账号密码切勿和关键字–root admin等、个人信息相关!!!密码长度最好大于10位

网络安全——流量分析_第4张图片

发现有login.php?rec=login

http.request.method=="POST" and ip.src==192.168.94.59 and http contains "rec=login"

网络安全——流量分析_第5张图片

查看最后黑客登录成功后的数据包或者查看length长度值跨度较大的数据包分析,双击之后打开html信息
在这里插入图片描述

得到黑客使用的账号和密码信息

4.webshell文件名和内容

一句话木马的格式

@符号是为了防止后边的语句报错

网络安全——流量分析_第6张图片

翻阅数据包发现存在a.php文件,但在image目录下有些奇怪,使用php文件的关键字eval

在这里插入图片描述
网络安全——流量分析_第7张图片

就得到了文件名,发现1234为传递值

盲猜可能是一句话木马,但是用http并没有发现数据,考虑到是tcp重传的原因,故将http换为tcp之后再过滤一遍

http contains "
http.request.method=="POST" and ip.src==192.168.94.59 and tcp contains "eval"

追踪一下tcp流
网络安全——流量分析_第8张图片

使用base64解码得到相应的内容和路径(z1=后边)

5.robots.txt中的flag

robots主要是防止百度蜘蛛的爬取,不想让百度蜘蛛抓取到我的后台

robots可以查看网站的类型,开源或者闭源,近期有无漏洞出现

robots是一个文件,需要直接导出http对象,在文本过滤器中选择robots.txt,将文件保存下来,即可获得flag

在这里插入图片描述

6.数据库密码

直接过滤数据包,如果数据包登陆成功,则http的响应值为200,并且一般会包含database

http.response.code==200 and http contains "database"

在这里插入图片描述

$dbpass后边的数据即为数据库密码

7.hash_code

打开webtwo流量包

网络安全——流量分析_第9张图片

得到数据库的主机是10.3.3.101

ip.src==10.3.3.101 and tcp contains "hash_code"

使用追踪TCP数据流,得到hash_code

网络安全——流量分析_第10张图片

8.黑客破解了账号ijnu@test.com得到的密码是什么

在webtwo流量包中,使用分组详情,查到密码
网络安全——流量分析_第11张图片

tcp contains "ijnu@test.com"

或者直接使用上边的语法进行过滤

再使用md5进行解密
网络安全——流量分析_第12张图片

9.被黑客攻击的web服务器,网卡配置是什么,提交网卡内网ip

打开webone流量包,网卡的配置一般都为eth0或者ens33

tcp contains "eth0"

网络安全——流量分析_第13张图片

追踪一下tcp流
网络安全——流量分析_第14张图片

得到网卡内网的配置 内网IP为10.3.3.100

10.黑客使用了什么账号登陆了mail系统

需要综合来看mailtwo.pcap和mailtwo1.pcap两个数据包

先查询下mailtwo.pcap这个数据包,关键字mail或者email

http.request.method==POST && http contains "mail" 

网络安全——流量分析_第15张图片

先随便找了个密码,得到加密方式为AES,登录用户名为wenwenni

但需要找到加密的密钥,找一个状态码为200的追踪TCP流

http.response.code==200

网络安全——流量分析_第16张图片

这是AES的CBC加密,填充格式为ZeroPadding,密钥为字符串1234567812345678的hash值,iv偏移量为1234567812345678

同样42号数据显示登录用户名为wenwenni

网络安全——流量分析_第17张图片

44号数据显示{“success”:true},代表登陆成功

网络安全——流量分析_第18张图片

(http contains "{\"success\":true}" or http.request.method=="POST") and ip.addr==192.168.94.59

在这里插入图片描述

发现都是在爆破,最后也没有出现成功的

查看第二个流量包mailtwo1
从后往前看,18152是登陆成功的返回结果,对应的17126则应该就是正确的加密后的密码

网络安全——流量分析_第19张图片

1234567812345678 必须经过md5加密后才可以使用的key

d959caadac9b13dcb3e609440135cf54

再使用aes解密工具

网络安全——流量分析_第20张图片

获得最终的账号密码

admin

admin!@#PASS123

11.黑客获得的的ip是多少

打开one流量包,统计端点

网络安全——流量分析_第21张图片

发现大部分为外网地址,看two

网络安全——流量分析_第22张图片

流量大的地址,即为黑客获得的地址10.3.4.3

流量包在这里
链接:https://pan.baidu.com/s/16b6zjzNzcOoRHRyAY3iwkQ?pwd=e9jh
提取码:e9jh

ItVuer - 免责声明 - 关于我们 - 联系我们

本网站信息来源于互联网,如有侵权请联系:561261067@qq.com

桂ICP备16001015号