題目背景
某公司內網網絡被黑客滲透,簡單了解,黑客首先攻擊了一台web服務器,破解了后台的賬戶密碼,隨之利用破解的賬號密碼登陸了mail系統,然后獲取了vpn的申請方式,然后登陸了vpn,在內網pwn掉了一台打印機,請根據提供的流量包回答下面有關問題
關卡列表
- 某公司內網網絡被黑客滲透,請分析流量,給出黑客使用的掃描器
- 某公司內網網絡被黑客滲透,請分析流量,得到黑客掃描到的登陸后台是(相對路徑即可)
- 某公司內網網絡被黑客滲透,請分析流量,得到黑客使用了什么賬號密碼登陸了web后台(形式:username/password)
- 某公司內網網絡被黑客滲透,請分析流量,得到黑客上傳的webshell文件名是,內容是什么,提交webshell內容的base編碼
- 某公司內網網絡被黑客滲透,請分析流量,黑客在robots.txt中找到的flag是什么
- 某公司內網網絡被黑客滲透,請分析流量,黑客找到的數據庫密碼是多少
- 某公司內網網絡被黑客滲透,請分析流量,黑客在數據庫中找到的hash_code是什么
- 某公司內網網絡被黑客滲透,請分析流量,黑客破解了賬號ijnu@test.com得到的密碼是什么
- 某公司內網網絡被黑客滲透,請分析流量,被黑客攻擊的web服務器,網卡配置是是什么,提交網卡內網ip
- 某公司內網網絡被黑客滲透,請分析流量,黑客使用了什么賬號登陸了mail系統(形式: username/password)
- 某公司內網網絡被黑客滲透,請分析流量,黑客獲得的vpn的ip是多少
解題過程
黑客使用的掃描器
打開webone.pcap數據包,按照協議類型排序一下,看到http協議的時候,發現了明顯的awvs的特征
黑客掃描到的登陸后台
登陸后台99%使用的是POST方法,直接使用過濾器過濾一下,然后追蹤TCP流,看到302重定向,基本就是登陸成功了
http.request.method=="POST"
黑客登陸后台所使用的賬號密碼
根據上一步我們看到的后台登陸302重定向結果可以判斷已經登陸成功了,直接查看數據即可獲得賬號密碼
但是查看過后我發現有很多302重定向登陸成功的結果,發現了很多賬號密碼,為了確定黑客所使用的,我找了一下黑客的ip地址,就是剛剛看到使用awvs進行掃描的源地址一定就是黑客的ip。然后使用過濾器再次過濾一下。
http.request.method=="POST" and ip.src==192.168.94.59 and http contains "rec=login"
終於在最后一條數據被我找到了..
webshell文件名和內容
通過下面的語句過濾一下數據,翻閱數據包后發現了一個a.php可能有點蹊蹺,但是沒有發現他是如何上傳的,不過追蹤一下TCP流,發現1234為傳遞值,並有base64加密過的內容,解密一下發現是php代碼,以z1為傳遞值,z1也是使用了base64加密過的內容,再次解密一下得到了一個目錄。總結上面的東西發現好像並沒有什么作用。。。
http.request.method=="POST" and ip.src==192.168.94.59 and http
不過從上面的發現基本可以斷定webshell是php寫的,盲猜一下是php一句話木馬,使用下面的語句過濾一下,沒有發現數據,考慮到可能是tcp重傳的原因,導致http中沒追蹤到,把http換成tcp再次過濾一下查看,最終找到了webshell的內容
http contains "<?php @eval"
tcp contains "<?php @eval"
robots.txt中的flag
直接導出http對象,在文本過濾器中選擇robots.txt,將文件保存下來,即可獲得flag
數據庫密碼
直接過濾http數據包,查看數據包的末尾,如果數據庫登陸成功,那么http響應碼應該為200,逐一查看響應碼為200的數據包,即可找到數據庫密碼
hash_code
打開webtwo.pacp,查看前幾條MySql的請求和響應,發現第17條數據發送了以下命令:
SELECT value FROM `dou_config` WHERE name = 'hash_code'
那么查看他的響應應該就可以獲得結果了,直接查看第18條數據,發現了hash_code的值
hash_code:d1c029893df40cb0f47bcf8f1c3c17ac
賬號ijnu@test.com的密碼
在分組詳情中直接搜索郵箱名稱,即可獲取密碼,密碼以md5加密形式傳遞,解密一下即可
網卡配置ip
這里回到webone.pcap,直接過濾 tcp contains "eth0"
然后追蹤一下TCP流即可
黑客使用什么賬號登陸了mail系統
這題需要綜合來看mailtwo.pcap和mailtwo1.pcap兩個數據包。
首先在mailtwo.pcap中過濾http,第三條數據的Cookie中發現了 login_name=wenwenni字段,並且是action=logout。
繼續向下讀取數據,發現下一個mail系統的數據是28號,然后又到了登陸界面的35號數據,在其中發現了密碼的加密函數:
取出來發現是AES的CBC加密,填充格式為ZeroPadding,密鑰為字符串1234567812345678的hash值,偏移量為1234567812345678
var key_hash = CryptoJS.MD5('1234567812345678');
var key = CryptoJS.enc.Utf8.parse(key_hash);
var iv = CryptoJS.enc.Utf8.parse('1234567812345678');
form.password.value = CryptoJS.AES.encrypt(form.password.value, key, { iv: iv,mode:CryptoJS.mode.CBC,padding:CryptoJS.pad.ZeroPadding});
在下一次的42號數據請求中,發現登錄用戶依然為wenwenni,因為這個用戶剛剛推出,所以猜測是使用cookie登錄的,查看一下返回數據44號中出現{"success":true},代表登陸成功。
]
既然這樣的話,我們使用以下語句過濾一下,
(http contains "{\\"success\\":true}" or http.request.method=="POST") and ip.addr==192.168.94.59
顯示出post請求成功的返回結果,發現是在爆破,並且直到mailtwo.pcap的最后也未爆破成功。於是打開mailtwo1.pcap,用相同的過濾條件試試,發現幾條數據,從后往前看,發現No.18152是登陸成功的返回結果,那對應的No.17126則就是正確的加密后的密碼。
進行aes解密即可得到admin賬號的密碼
黑客獲得的vpn,ip是多少
第一個包在嘗試登陸vpn,第二個包登陸上了vpn,然后第二個包 從 統計->對話 發現10.3.4.3和10.3.4.96發出的包比較多,而且過濾一下smb發現10.3.4.96是smb服務器,篩選10.3.4.55(另一個流量大點的地址)發現是10.3.4.3先ping它的,基本可以確定10.3.4.3就是黑客的vpn IP。
