Meiya@lan@400!lan&pico
三、流量分析
29.通过对流量包attack进行分析,该数据流量包的sha1的是多少?(格式填写小写字母与数字组合 如abc23dedf445)
7f66df0b59bb5d633a1cb3dbe7acfbb7455458cc
可以直接查看
30.通过对流量包attack进行分析,捕获第一个数据报文的时间是?(格式按年-月-日 填写 如:yyyy-mm-dd 如2000-01-23)
2018-08-08
31.通过对流量包attack进行分析,捕获流量包时使用的接口数量(格式填写数字 如:10)
未知
32.通过对流量包attack进行分析,获取被攻击的服务IP是多少?(格式数字与.组合填写 如:10.10.1.1)
192.168.32.189
通览该流量包的各个流量,目的是找出流量中的有用信息,像这个流量包就是一个攻击型的流量,先通过工具扫描目录漏洞、后台密码爆破等,找到脆弱点,上传木马,然后通过上传一句话木马,通过webshell管理工具进行连接和管理,然后进行一些恶意操作。
像截图中的过程就是目录扫描的过程,特征是短时间使用大量的HEAD、GET方式请求大量的文件、目录,这些文件大多是不存在的而且正常使用网站是不会访问的,会返回很多404。像下图的访问…/…/这样的目录。
流量中如上图,先进行了目录爆破,和一些简单常见的漏洞测试,像跨站,sql注入,一些cve的漏洞poc
接下来一段的流量特征就是对admin的登陆界面进行post,进行后台账号密码的爆破
一般如果问后台账号密码是什么,一般对登录的包进行过滤,找最后几条登陆包,一般登陆成功的记录就在这个地方。
然后后面又是一段目录爆破,直到下图附近,开始对后台管理员账号进行爆破和sql注入
查看登陆成功后的index.php,返回有用户信息“您好,人事”,知道此处“人事”的账号成功登录后台
返回有用户信息“您好,人事”,知道此处使用“admin”的账号成功登录后台也成功了
因为一般网站逻辑是只有登陆后才能访问/admin/index.php的,使用可以推定在这个附近成功登陆了,一般找最后一个登录的账号密码,但也要具体情况具体分析,有些时候是前一个包登陆了,服务器正在返回登陆成功的时候又发了后一个登陆包,但是实际上是前一个包的登录信息登陆的(俗称卡了),注意结合题目具体分析。
像此处就就应该注意攻击者的IP,登录人事账号的IP不是攻击者的IP,此处可能产生混淆,但是我们获得了人事的账号密码。
人后黑客对后台各个页面进行访问,找到上传点,上传远控木马,
对后台各个页面进行访问,在article处编辑了之后应该是在article处传的a.php的马,后来都是webshell管理工具进行连接和应用了
接下来就是webshell流量分析模块了,这个等下面的题再讲,这部分可以看一下这个平航的pdf和课程,对提高对流量题的理解很大。
综上,在这样分析中,我们还是可以比较容易确定攻击和被攻击的IP分别是什么的,我们可以将这几个IP单独过滤出来看,然后再不看这几个IP的流量,看看其他流量有无异常。
所以攻击IP为192.168.94.59,被攻击的网站的IP为192.168.32.189
33.通过对流量包attack进行分析,得知攻击者IP是多少?(格式数字与.组合填写 如:10.10.1.1)
192.168.94.59
34.通过对流量包attack进行分析,得知黑客使用的扫描器是?
A:Netsparker ; B:Appscan ; C:AWVS; D:Webinspect;
各类扫描器都有各自的特征值指纹,这涉及到一些渗透测试的知识,我们要知道这些黑客工具的工作原理及其留下痕迹的特征,才能更好的展开分析溯源。网络攻防对抗,电子数据取证可以算是防御溯源的手段之一,我们要识别攻击留下的痕迹,首先要自己会攻击。
像这列使用到的awvs就是一种常见常用的扫描器,其全程是acuntix,在扫描漏洞攻击的过程中,一些ua头,传输的路径,传输的文件名,上传的文件内容多会包含acunetix_wvs_security_test这几个字符,所以问攻击工具的流量题可以先对这些工具的特征指纹先进行搜索,很大程度上可以方便我们了解攻击路径。对这些攻击工具熟悉,理解工作原理可以很快知道流量在干啥,将会达到什么目的。像awvs就是综合扫描,会进行目录扫描、敏感文件扫描、密码爆破、各种常见漏洞利用等一系列操作。
35.通过对流量包attack进行分析,得到黑客对服务器网站扫描到的登录后台是:(格式填写相对路径 ,使用小写字母、 / 和其他字符组合 如: /www/wwwroot)
/admin/login.php?rec=login
36.通过对流量包attack进行分析,得到其人事登录网站服务器的密码是?(格式填写字母与数字组合 如:abc123)
hr123456
37.通过对流量包attack进行分析,得知黑客使用什么账号密码进行登录网站后台?(格式填写小写字母 、数字、 / 、其它字符组合 如:username/password)
admin/admin!@#pass123
38.通过对流量包attack进行分析,得到黑客第一次上传的webshell文件名是什么?(格式填写小写字母、数字、 .组合 如:user.js或者user.php )
a.php
最先上传的a.php
39.接着上题分析,黑客上传的内容是什么?(格式填写数字 如:123456)
1234
对a.php的操作一共有31个包,不多的,而且webshell操作还是很关键的,每个请求包和响应包都需要仔细看。接下来我们仔细看一下这31对响应请求。
包733898 GET方法get了一下a.php是确定a.php是否上传成功,响应200,说明a.php上传成功了。
包733934 使用POST方式传递了
“1234” = “@eval(base64_decode($_POST[action]));”
“action” = “QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0+fCIpOzskRD1kaXJuYW1lKCRfU0VSVkVSWyJTQ1JJUFRfRklMRU5BTUUiXSk7aWYoJEQ9PSIiKSREPWRpcm5hbWUoJF9TRVJWRVJb”
这样两条信息,意思就是a.php用1234变量接受了这条指令"@eval(base64_decode($_POST[action]));"
这条指令的意思就是eval(执行)base64_decode(base64解密后)$_POST[action](使用post方式接收到的action的值)
那么我们按这个规则直接解密action中的值
看不太懂没关系,我们还可以学习,尽量去看,这里看到这一对箭头就可以初步确定这是中国菜刀连接的痕迹,这是中国菜刀webshell连接特征之一,以后问使用什么工具进行连接管理要会
其他内容看不太懂没关系,我们可以看服务器的相应包,通过响应来推测我们请求了什么
这里返回了当前路径、服务器内核信息、时间时区信息、版本信息等一系列服务器基本信息,应该是执行了查看系统版本这些命令。
我在自己服务器上进行操作,来解释这些字符产生的原因,加深大家对流量的理解,首先我在服务器上上传一个木马
上传之后肯定要检测一下上传是否成功,对这个木马页面进行访问,如果是一个空白页面则是正常,如果是404或者403可能没有上传成功或者被防火墙拦截了
页面没有任何回显,应该是上传成功了,我们使用中国菜刀连接一下
在菜刀中添加这个webshell,连接,查看抓取到的流量
进入终端及对应流量
查看目录及对应流量
执行ls命令及其对应流量
包733948 以文件列表的形式打开了当前目录
包 733959
还是执行了相同的操作?
包734020
查看了一张照片,导出该张照片,修改文件头文件尾,将这个菜刀的符号删掉
包 734070
包 734072
包 734177
包 734189
没有人请求包对应的两个相应包
包 734251
包 734268
包 734280
又是两个没有请求包的相应包内容一致
包 734354
包 734359
包734383
在此处读到flag为
9f08594fc1dcd0059936196bf2d090b7
包 734413
相同的操作
包 734436
读取了一个robots.txt
这里找到一个flag
flag:87b7cb79481f317bde90c116cf36084b
包 734452
读了一个product_category.php
包 734476
读了一个index.php
包 734507
进了include文件夹
包 734514
包 734532
读个init.php
包 734555
进data目录
包 734560
两个没有请求包的响应包
包 734652
10.3.3.101choraheiheiheiwebchoraheiheiheie667jUPvJjXHvEUv
这里的语句为以choraheiheihei 提取conf变量,可以看到这里有一个IP为10.3.3.101,一个web,一个e667jUPvJjXHvEUv,这是数据库的配置信息,也就是账号密码,对数据库进行连接,并执行sql语句,这个比较难以解释,大家自己阅读这一段php代码,诗图搞懂其中大概的意思。
这有一条数据库sql命令
查看返回包,返回了web表中的各tables,接下来应该是针对数据库的操作了。
包 734668
继续执行命令
包 734710
包 734728
包 734748
似乎又返回了“主页面”,读取服务器配置信息
包734763
使用一个bin/sh的命令,进入article目录,列出目录包含文件,返回符号[S],列出当前路径,返回符号[E]
包734787
这次执行了一个ifconfig操作查看被入侵机器的网络信息
40.通过对流量包attack进行分析,黑客在robots.txt中找到的flag是什么?(格式填写小写字母与数字组合 如:ab6767gdgd9870)
flag:87b7cb79481f317bde90c116cf36084b
flag:87b7cb79481f317bde90c116cf36084b
41.通过对流量包attack进行分析,捕获这些数据报文的一共时间是?(格式 按小时:分:秒 填写 如:hh:mm:ss 如00:01:23)
02:16:22
第一个分组:
2018-08-08 14:34:47
最后分组:
2018-08-08 16:51:09
经过时间:
02:16:22
42.通过对流量包attack进行分析,HTTP Request Packets占总的HTTP Packets百分比多少?(格式填写数字、. % 组合 如:11.11% 百分比保留小数点后二位)
51.32%
做这种题是最简单的,因为如此精确的数值,肯定是在哪里可以找到的,现在是基于检材的取证,证据一定存在于发给我们的检材里,只要细心找一定能找到,等以后如果涉及云取证,数据需要到云端获取,可能会变得复杂一些。
51.32%
43.通过对流量包attack进行分析,已提取出黑客之前曾经从数据库服务器盗取的数据文件hack.jpg,对其分析,得知该文件一共包含几个数据表?(格式填写数字 如:1)
8
查看该图片,使用010editor打开这张图片,可以套用jpg的模板(一般自己会套用的)。
可以很直观地看到下面没有颜色的部分,并不是这张图片的一部分。
将这部分复制出来,保存成文件,使用linux 的file命令可以看到这是一个gzip压缩的文件
或者使用Windows下的小工具,这个托马斯回旋文件格式分析器,查看文件类型
知道这是压缩文件后,我们可以使用压缩工具打开,发现里面还一个文件
解压后再对这个文件分析一次
还是个压缩包,这样可以推断原来的文件格式为.tar.gz是一种linux下常用的压缩格式
再解压一次,
可以看到里面是一个名为business的未知文件格式的文件
发现是个文本文件,使用文本编辑器打开,是一个sql文件
在本地起一个5.5版本的数据库,将这个数据库文件导入查看
可以看到有八个数据表
44.接上题customername为Singal Gift Stores的电话号码为?(格式填写数字 如:1112222222)
7025551838
电话为7025551838
流量分析其实并不算太难,要掌握方法,利用好wireshark这一强大的工具,wireshark的功能非常强大,大家要掌握器使用技巧,也可以利用好一些小工具,自己写一些脚本快速识别检测流量中包含的扫描器指纹,快速解码、提取webshell连接流量中各个请求响应中的内容(有点像入侵检测装置,但是针对的是静态的流量包)。正式比赛中,并不会像我写题解这样逐条的解码webshell,多的是快速定位,查看大概的意思,摸清楚攻击流程、利用的漏洞点、攻进系统后执行的操作。
流量题大多是是有迹可循的,大家掌握方法,多家训练,一定都是可以掌握的。可以看一下这个流量入门到进阶课和课件,然后跟着课练一练。对于提高对流量分析的理解很有帮助。
Grignard
2022.9.27
版权归原作者 Grignard_ 所有, 如有侵权,请联系我们删除。