流量分析----CTF题

文章目录

  • 题目背景
  • 一、关卡列表
  • 二、解题
    • 1. 请分析流量,给出黑客使用的扫描器
    • 2. 请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)
    • 3. 请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)
    • 4. 请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码
    • 5. 请分析流量,黑客在robots.txt中找到的flag是什么
    • 6. 请分析流量,黑客找到的数据库密码是多少
    • 7. 请分析流量,黑客在数据库中找到的hash_code是什么
    • 8. 请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么
    • 9. 网卡配置是是什么,提交网卡内网ip
    • 10. 请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)
    • 11. 请分析流量,黑客获得的vpn的ip是多少
  • 三、流量包文件

题目背景

某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题

一、关卡列表

  1. 请分析流量,给出黑客使用的扫描器

  2. 请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)

  3. 请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)

  4. 请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码

  5. 请分析流量,黑客在robots.txt中找到的flag是什么

  6. 请分析流量,黑客找到的数据库密码是多少

  7. 请分析流量,黑客在数据库中找到的hash_code是什么

  8. 请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么

  9. 网卡配置是是什么,提交网卡内网ip

  10. 请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)

  11. 请分析流量,黑客获得的vpn的ip是多少

二、解题

1. 请分析流量,给出黑客使用的扫描器

打开webone.pcap,按照协议类型排序一下
zheli
看到这里是不是比较熟悉?
常用的扫描器也就这几个:awvs,appscan,nessus
刚好这个特征就是awvs的
在这里插入图片描述
然后我们使用http contains acunetix过滤
在这里插入图片描述
发现大量的awvs的特征,可以说明是用awvs进行扫描的
第一题完成

2. 请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)

登录后台无非就两种方法,POST和GET。因为GET方法比较不安全
在提交的时候url会出现这种情况
在这里插入图片描述
可以确认第一步,登陆后台99%使用的是POST方法,直接使用过滤器过滤一下http.request.method=="POST",有rec=login的流量进行追踪
在这里插入图片描述
在这里插入图片描述
302重定向,基本上说明登陆成功

3. 请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)

在上一题的基础上,一个一个追踪tcp是不可取的,根据上面的结果,我们可以发现黑客的IP是192.168.94.59rec=login
所以我们可以这样过滤:http.request.method=="POST" && ip.src==192.168.94.59 && http contains "rec=login"
根据经验,我们找到最后一个包,结果就出来了

在这里插入图片描述
(admin/admin!@#pass123)

4. 请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码

这题解法我们可以用这句过滤http.request.method=="POST" and ip.src==192.168.94.59 and http

在这里插入图片描述

这明显就有问题,如果说一个正常的网站,images下放的是图片,但这里放了一个a.php很让人怀疑是一句话木马,而且啊,在老师的教学中,为了方便起文件直接a.php或者b.php等,所以怀疑这里大概率是有问题了,我们对其中一个进行tcp追踪
在这里插入图片描述

看到这里就很明显了吧,一句话木马的特征,1234为传递值,base64加密过的内容
我们对内容解一下
在这里插入图片描述
可以确认是一句话木马了
我们再过滤一下tcp contains "<?php @eval"
在这里插入图片描述

5. 请分析流量,黑客在robots.txt中找到的flag是什么

题目说robots.txt,然后就过滤哈http contains "robots.txt"
在这里插入图片描述
flag:87b7cb79481f317bde90c116cf36084b

6. 请分析流量,黑客找到的数据库密码是多少

直接过滤http数据包,查看数据包的末尾,如果数据库登陆成功,那么http响应码应该为200,并且一般会包含database,逐一查看响应码为200的数据包,即可找到数据库密码http.response.code==200 and http contains "database"
在这里插入图片描述
在这里插入图片描述
结果显而易见

7. 请分析流量,黑客在数据库中找到的hash_code是什么

打开webtwo.pcap,我们可以利用hash_code过滤一下,因为上一张图已经知道数据库主机的ip,这一条语句可以ip.src==10.3.3.101 and tcp contains "hash_code"
在这里插入图片描述

8. 请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么

直接上语句tcp contains "ijnu@test.com"
在这里插入图片描述

在这里插入图片描述
MD5解码,得到
em。。。这里搜md5在线解密结果都是要开会员,后来用了老师推荐的一个MD5在线
最后得到edc123!@#

9. 网卡配置是是什么,提交网卡内网ip

无外乎也就那几个,eth0,eth1,lo等等,这次直接搜tcp contains "eth0"
在这里插入图片描述
我们可以知道,外网ip192.168.32.189,而内网ip10.3.3.100

10. 请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)

11. 请分析流量,黑客获得的vpn的ip是多少

最后两题。参考文章:https://blog.csdn.net/W981113/article/details/122487826

一点小tip

在做题过程中,发现如果数据包里出现中文,就会乱码。这时候打开追踪TCP流,选择原始数据,然后save as 文本文件,即可解决乱码

三、流量包文件

链接:https://pan.baidu.com/s/1VUZSFIfYijvezXw49C1isA
提取码:ls8s

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/358076.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

一文教你从零开始设计并实现一个Java扫雷游戏

一文教你从零开始设计并实现一个Java扫雷游戏

背景&#xff1a;扫雷这款游戏有着很长的历史&#xff0c;从扫雷被开发出来到现在进行了无数次的优化&#xff0c;这款游戏变得越来越让人爱不释手了&#xff0c;简单的玩法在加上一个好看的游戏界面&#xff0c;每一处的细节都体现了扫雷的魅力。以JAVA语言作为开发环境&#…
阅读更多...
C#循环语句(for循环)

C#循环语句(for循环)

循环语句 for(初始条件&#xff1b;循环条件&#xff1b;状态改变) { 循环体 &#xff1b;执行代码&#xff08;break跳出循环体&#xff09; } for(i1&#xff1b;i<100;i) 初始条件是i1;循环条件是i<100,即直到i在1-100之内进行循环&#xff0c;直到100结束循环&#x…
阅读更多...
Apache Shiro 认证绕过漏洞 CVE-2020-1957 漏洞复现

Apache Shiro 认证绕过漏洞 CVE-2020-1957 漏洞复现

Apache Shiro 认证绕过漏洞 CVE-2020-1957 漏洞复现 一、漏洞描述二、漏洞影响三、漏洞复现1、环境搭建2、漏洞复现 四、漏洞POC五、参考链接 一、漏洞描述 Apache Shiro 是一款开源安全框架&#xff0c;提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用&#xff…
阅读更多...
H5工程师在谷歌浏览器调试并开发原生APP项目的解决办法

H5工程师在谷歌浏览器调试并开发原生APP项目的解决办法

背景:项目是前后端分离,我想在浏览器调试项目,工具使用HB-X。密码是不可输入状态。 1.login.html在HB-X中运行到谷歌浏览器页面 。按F12进入调试模式。 2.密码做了安全防御,不能直接输入,我们在控制台进入。定位到password的id。
阅读更多...
「Java代码审计」华夏ERP3.0代码审计

「Java代码审计」华夏ERP3.0代码审计

本文转载于&#xff1a;https://blog.csdn.net/Ananas_Orangey/article/details/120340010?ops_request_misc%257B%2522request%255Fid%2522%253A%2522166565951516782427492557%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id166…
阅读更多...
Fastjson 1.2.22-24 反序列化漏洞分析

Fastjson 1.2.22-24 反序列化漏洞分析

Fastjson 1.2.22-24 FastJson在 1.2.22 - 1.2.24 版本中存在反序列化漏洞&#xff0c;主要原因FastJson支持的两个特性&#xff1a; fastjson反序列化时&#xff0c;JSON字符串中的 type 字段&#xff0c;用来表明指定反序列化的目标恶意对象类。 fastjson反序列化时&#xf…
阅读更多...
检测到堆栈粉碎

检测到堆栈粉碎

我敢打赌&#xff0c;每一个Java开发人员在他们的职业生涯初期都首次在Java代码中遇到本机方法时都会感到惊讶。 我还可以肯定&#xff0c;多年来随着了解JVM如何通过JNI处理对本机实现的调用而使惊喜消失了。 这篇文章是关于本机方法的最新经验。 更详细地讲&#xff0c;使用…
阅读更多...
fastjson反序列化分析

fastjson反序列化分析

1.fastjson简单使用 User: package com.naihe;public class User {private String name;private int age;public User() {}public User(String name, int age) {this.name name;this.age age;}public String getName() {return name;}public void setName(String name) {th…
阅读更多...
银行家算法:解决多线程死锁问题

银行家算法:解决多线程死锁问题

死锁&#xff1a; 死锁产生的现场&#xff1a;当A进程P S2信号量而B进程P S1信号量时就会产生死锁&#xff0c;因为S2信号量需要B进程释放&#xff0c;而S1信号量需要A进程释放&#xff0c;因此两个进程都在等相互的资源&#xff0c;造成死锁。 死锁产生的条件&#xff1a; 互斥…
阅读更多...
转:巧用搜狗输入法输入英文单词

转:巧用搜狗输入法输入英文单词

转&#xff1a; http://www.techweb.com.cn/digi/experience/2013-06-03/1300700.shtml 你是否遇到过这样的情形&#xff1a;想打一个英文单词&#xff0c;但是忘了具体拼写是什么&#xff0c;只是记了个大概?比如“竞争”&#xff0c;到底是competetion还是competition呢?又…
阅读更多...
服务器ping不通的解决办法之阿里云云服务器VNC报错Failed to execute /sbin/init

服务器ping不通的解决办法之阿里云云服务器VNC报错Failed to execute /sbin/init

背景:最近买了一个阿里云的云服务器,今天想安装阿里云的操作文档搭建一个博客网站来着,发现服务器公网IP都ping不通 解决办法参考: 方法一:如何解决ping请求超时的问题 方法二:本地ping服务器连接不到,总是超时 我的防火墙已经关闭,内网切换移动网络也不行,安全组…
阅读更多...
从ofcms的模板注入漏洞(CVE-2019-9614)浅析SSTI漏洞(freemarker模板)

从ofcms的模板注入漏洞(CVE-2019-9614)浅析SSTI漏洞(freemarker模板)

https://www.cnvd.org.cn/flaw/show/CNVD-2019-08488 思路: 1、pom.xml的时候发现存在模版引擎freemarker http://t.zoukankan.com/Eleven-Liu-p-12747908.html 2、寻找修改模版的地方 TemplateController.java 3、添加执行Payload <#assign ex“freemarker.template.utilit…
阅读更多...
Goby反制复现

Goby反制复现

0x00 前言 最近复现Goby反制的时候遇到很多坑&#xff0c;记录一下反制过程以及遇到的坑点&#xff0c;还有世界上最强的黑客mux1ng帮我解决了很多问题。 0x01环境 攻击机&#xff1a; windows10 Goby1.8.230 172.20.10.3反制机&#xff1a; Windows7 Phpstudy2016 172.20.…
阅读更多...
fckeditor漏洞_三十,文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防御

fckeditor漏洞_三十,文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防御

一.编辑器漏洞 1.编辑器 编辑器属于第三方软件&#xff0c;它的作用是方便网站管理员上传或编辑网站上的内容&#xff0c;类似我们电脑上的Word文档。 编辑器通常分为两种情况&#xff1a; (1) 不需要后台验证&#xff0c;可以直接在前台访问且操作。通过方法找到编辑器&#x…
阅读更多...
畅捷通T+任意文件上传(CNVD-2022-60632 )漏洞复现

畅捷通T+任意文件上传(CNVD-2022-60632 )漏洞复现

一、漏洞描述 2022年8月29日和8月30日&#xff0c;畅捷通公司紧急发布安全补丁修复了畅捷通T软件任意文件上传漏洞。未经身份认证的攻击者利用该漏洞&#xff0c;通过绕过系统鉴权&#xff0c;在特定配置环境下实现任意文件的上传&#xff0c;从而执行任意代码&#xff0c;获得…
阅读更多...
不喜欢节流吗?

不喜欢节流吗?

您别无选择–基础系统&#xff08;此处的JVM将为您完成此选择&#xff09;。 我仍然记得2013年夏天&#xff0c;当时我正在运行一个项目&#xff0c;整个应用程序中只有1个URL使服务器瘫痪。 问题很简单-机器人决定以很高的速率索引我们的网站&#xff0c;并且该机器人正在创建…
阅读更多...
OData V4 系列 查询操作

OData V4 系列 查询操作

OData 学习目录 对OData的操作&#xff0c;主要是查询&#xff0c;下面把相关的查询情况列出来&#xff0c;供参考学习&#xff0c;每个操作都有对应的截图&#xff0c;便于理解 默认查询 $expand 查询导航属性关系 &#xff0c;查询Product相关的Supplier $top、$skip、$orde…
阅读更多...
JSP项目打开不通的查看详情页动画是放大状态的解决办法

JSP项目打开不通的查看详情页动画是放大状态的解决办法

背景:前段时间做了一个详情页在当前页面的放大缩小的动画效果,——>我是如何用Jquery实现网页缩小放大的 今天测试反馈:详情页是缩小状态,点击关闭后打开其他的查看详情页页面,还是默认的缩小状态,需要做成,每次打开默认是放大的效果。 截图: 这个系统比较老,boots…
阅读更多...
gorm 密码字段隐藏_KeeWeb for mac(密码管理工具)

gorm 密码字段隐藏_KeeWeb for mac(密码管理工具)

KeeWeb是一个非常专业的密码管理工具。这款工具支持Mac OS X&#xff0c;Windows和Linux平台&#xff0c;不需要任何安装和工作在所有现代浏览器&#xff0c;搜索任何条目或查看所有文件中的所有项目作为一个列表。功能非常强大实用。本站现在提供KeeWeb Mac版下载&#xff0c;…
阅读更多...
Centos7下按装Docker和docker-compose及环境配置

Centos7下按装Docker和docker-compose及环境配置

删除之前安装的 sudo yum remove docker \docker-client \docker-client-latest \docker-common \docker-latest \docker-latest-logrotate \docker-logrotate \docker-selinux \docker-engine-selinux \docker-engineyum remove docker-ce docker-ce-selinux container-selin…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023