0


流量分析----CTF题

文章目录

题目背景

某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题

一、关卡列表

  1. 请分析流量,给出黑客使用的扫描器
  2. 请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)
  3. 请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)
  4. 请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码
  5. 请分析流量,黑客在robots.txt中找到的flag是什么
  6. 请分析流量,黑客找到的数据库密码是多少
  7. 请分析流量,黑客在数据库中找到的hash_code是什么
  8. 请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么
  9. 网卡配置是是什么,提交网卡内网ip
  10. 请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)
  11. 请分析流量,黑客获得的vpn的ip是多少

二、解题

1. 请分析流量,给出黑客使用的扫描器

打开webone.pcap,按照协议类型排序一下
zheli
看到这里是不是比较熟悉?
常用的扫描器也就这几个:awvs,appscan,nessus
刚好这个特征就是awvs的
在这里插入图片描述
然后我们使用

http contains acunetix

过滤
在这里插入图片描述
发现大量的awvs的特征,可以说明是用awvs进行扫描的
第一题完成

2. 请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)

登录后台无非就两种方法,

POST和GET

。因为GET方法比较不安全
在提交的时候url会出现这种情况
在这里插入图片描述
可以确认第一步,登陆后台99%使用的是POST方法,直接使用过滤器过滤一下

http.request.method=="POST"

,有

rec=login

的流量进行追踪
在这里插入图片描述
在这里插入图片描述
302重定向,基本上说明登陆成功

3. 请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)

在上一题的基础上,一个一个追踪tcp是不可取的,根据上面的结果,我们可以发现黑客的IP是

192.168.94.59

rec=login

所以我们可以这样过滤:

http.request.method=="POST" && ip.src==192.168.94.59 && http contains "rec=login"

根据经验,我们找到最后一个包,结果就出来了

在这里插入图片描述
(admin/admin!@#pass123)

4. 请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码

这题解法我们可以用这句过滤

http.request.method=="POST" and ip.src==192.168.94.59 and http

在这里插入图片描述

这明显就有问题,如果说一个正常的网站,images下放的是图片,但这里放了一个a.php很让人怀疑是一句话木马,而且啊,在老师的教学中,为了方便起文件直接a.php或者b.php等,所以怀疑这里大概率是有问题了,我们对其中一个进行tcp追踪
在这里插入图片描述

看到这里就很明显了吧,一句话木马的特征,1234为传递值,base64加密过的内容
我们对内容解一下
在这里插入图片描述
可以确认是一句话木马了
我们再过滤一下

tcp contains "<?php @eval"

在这里插入图片描述

5. 请分析流量,黑客在robots.txt中找到的flag是什么

题目说robots.txt,然后就过滤哈

http contains "robots.txt"

在这里插入图片描述
flag:

87b7cb79481f317bde90c116cf36084b

6. 请分析流量,黑客找到的数据库密码是多少

直接过滤http数据包,查看数据包的末尾,如果数据库登陆成功,那么http响应码应该为200,并且一般会包含database,逐一查看响应码为200的数据包,即可找到数据库密码

http.response.code==200 and http contains "database"

在这里插入图片描述
在这里插入图片描述
结果显而易见

7. 请分析流量,黑客在数据库中找到的hash_code是什么

打开webtwo.pcap,我们可以利用hash_code过滤一下,因为上一张图已经知道数据库主机的ip,这一条语句可以

ip.src==10.3.3.101 and tcp contains "hash_code"

在这里插入图片描述

8. 请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么

直接上语句

tcp contains "[email protected]"

在这里插入图片描述

在这里插入图片描述
MD5解码,得到
em。。。这里搜md5在线解密结果都是要开会员,后来用了老师推荐的一个MD5在线
最后得到

edc123!@#

9. 网卡配置是是什么,提交网卡内网ip

无外乎也就那几个,eth0,eth1,lo等等,这次直接搜

tcp contains "eth0"

在这里插入图片描述
我们可以知道,外网ip

192.168.32.189

,而内网ip

10.3.3.100

10. 请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)

11. 请分析流量,黑客获得的vpn的ip是多少

这两题能力有限,还需要多多研究一下(累~)

三、流量包文件

链接:

https://pan.baidu.com/s/1VUZSFIfYijvezXw49C1isA

提取码:

ls8s
标签: 安全 web安全 网络

本文转载自: https://blog.csdn.net/qq_38390532/article/details/124543989
版权归原作者 Leon.Luo 所有, 如有侵权,请联系我们删除。

“流量分析----CTF题”的评论:

还没有评论