发布时间:2022-10-03 17:00
某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了的申请方式,然后登陆了,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题
1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器
2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)
3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)
4 某公司内网网络被黑客渗透,请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码
5 某公司内网网络被黑客渗透,请分析流量,黑客在robots.txt中找到的flag是什么
6 某公司内网网络被黑客渗透,请分析流量,黑客找到的数据库密码是多少
7 某公司内网网络被黑客渗透,请分析流量,黑客在数据库中找到的hash_code是什么
8 某公司内网网络被黑客渗透,请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么
9 某公司内网网络被黑客渗透,请分析流量,被黑客攻击的web服务器,网卡配置是是什么,提交网卡内网ip
10 某公司内网网络被黑客渗透,请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)
11某公司内网网络被黑客渗透,请分析流量,黑客获得的的ip是多少
广泛使用的扫描器:awvs appscan nessus
打开webone.pcap数据包,查找是否有相关awvs协议特征
http contains acunetix
说明是使用awvs进行扫描的
后台登录基本都是使用POST方法
http.request.method=="POST"
找到数据,使用右键追踪TCP数据流
发现有302重定向,就是登陆成功了
说明是使用post方法登陆后台的,同时得到了黑客的IP地址为192.168.94.59
设置账号密码切勿和关键字–root admin等、个人信息相关!!!密码长度最好大于10位
发现有login.php?rec=login
http.request.method=="POST" and ip.src==192.168.94.59 and http contains "rec=login"
查看最后黑客登录成功后的数据包或者查看length长度值跨度较大的数据包分析,双击之后打开html信息
得到黑客使用的账号和密码信息
一句话木马的格式
@符号是为了防止后边的语句报错
翻阅数据包发现存在a.php文件,但在image目录下有些奇怪,使用php文件的关键字eval
就得到了文件名,发现1234为传递值
盲猜可能是一句话木马,但是用http并没有发现数据,考虑到是tcp重传的原因,故将http换为tcp之后再过滤一遍
http contains "
http.request.method=="POST" and ip.src==192.168.94.59 and tcp contains "eval"
使用base64解码得到相应的内容和路径(z1=后边)
robots主要是防止百度蜘蛛的爬取,不想让百度蜘蛛抓取到我的后台
robots可以查看网站的类型,开源或者闭源,近期有无漏洞出现
robots是一个文件,需要直接导出http对象,在文本过滤器中选择robots.txt,将文件保存下来,即可获得flag
直接过滤数据包,如果数据包登陆成功,则http的响应值为200,并且一般会包含database
http.response.code==200 and http contains "database"
$dbpass后边的数据即为数据库密码
打开webtwo流量包
得到数据库的主机是10.3.3.101
ip.src==10.3.3.101 and tcp contains "hash_code"
使用追踪TCP数据流,得到hash_code
tcp contains "ijnu@test.com"
或者直接使用上边的语法进行过滤
打开webone流量包,网卡的配置一般都为eth0或者ens33
tcp contains "eth0"
得到网卡内网的配置 内网IP为10.3.3.100
需要综合来看mailtwo.pcap和mailtwo1.pcap两个数据包
先查询下mailtwo.pcap这个数据包,关键字mail或者email
http.request.method==POST && http contains "mail"
先随便找了个密码,得到加密方式为AES,登录用户名为wenwenni
但需要找到加密的密钥,找一个状态码为200的追踪TCP流
http.response.code==200
这是AES的CBC加密,填充格式为ZeroPadding,密钥为字符串1234567812345678的hash值,iv偏移量为1234567812345678
同样42号数据显示登录用户名为wenwenni
44号数据显示{“success”:true},代表登陆成功
(http contains "{\"success\":true}" or http.request.method=="POST") and ip.addr==192.168.94.59
发现都是在爆破,最后也没有出现成功的
查看第二个流量包mailtwo1
从后往前看,18152是登陆成功的返回结果,对应的17126则应该就是正确的加密后的密码
1234567812345678 必须经过md5加密后才可以使用的key
d959caadac9b13dcb3e609440135cf54
再使用aes解密工具
获得最终的账号密码
admin
admin!@#PASS123
打开one流量包,统计端点
发现大部分为外网地址,看two
流量大的地址,即为黑客获得的地址10.3.4.3
流量包在这里
链接:https://pan.baidu.com/s/16b6zjzNzcOoRHRyAY3iwkQ?pwd=e9jh
提取码:e9jh