文章目录

• 题目背景
• 一、关卡列表
• 二、解题
• • 1. 请分析流量，给出黑客使用的扫描器
  • 2. 请分析流量，得到黑客扫描到的登陆后台是(相对路径即可)
  • 3. 请分析流量，得到黑客使用了什么账号密码登陆了web后台(形式:username/password)
  • 4. 请分析流量，得到黑客上传的webshell文件名是，内容是什么,提交webshell内容的base编码
  • 5. 请分析流量，黑客在robots.txt中找到的flag是什么
  • 6. 请分析流量，黑客找到的数据库密码是多少
  • 7. 请分析流量，黑客在数据库中找到的hash_code是什么
  • 8. 请分析流量，黑客破解了账号ijnu@test.com得到的密码是什么
  • 9. 网卡配置是是什么，提交网卡内网ip
  • 10. 请分析流量，黑客使用了什么账号登陆了mail系统（形式: username/password）
  • 11. 请分析流量，黑客获得的vpn的ip是多少
• 三、流量包文件

题目背景

某公司内网网络被黑客渗透，简单了解，黑客首先攻击了一台web服务器，破解了后台的账户密码，随之利用破解的账号密码登陆了mail系统，然后获取了vpn的申请方式，然后登陆了vpn，在内网pwn掉了一台打印机，请根据提供的流量包回答下面有关问题

一、关卡列表

1. 请分析流量，给出黑客使用的扫描器

2. 请分析流量，得到黑客扫描到的登陆后台是(相对路径即可)

3. 请分析流量，得到黑客使用了什么账号密码登陆了web后台(形式:username/password)

4. 请分析流量，得到黑客上传的webshell文件名是，内容是什么,提交webshell内容的base编码

5. 请分析流量，黑客在robots.txt中找到的flag是什么

6. 请分析流量，黑客找到的数据库密码是多少

7. 请分析流量，黑客在数据库中找到的hash_code是什么

8. 请分析流量，黑客破解了账号ijnu@test.com得到的密码是什么

9. 网卡配置是是什么，提交网卡内网ip

10. 请分析流量，黑客使用了什么账号登陆了mail系统（形式: username/password）

11. 请分析流量，黑客获得的vpn的ip是多少

二、解题

1. 请分析流量，给出黑客使用的扫描器

打开webone.pcap,按照协议类型排序一下

看到这里是不是比较熟悉？
常用的扫描器也就这几个：awvs，appscan，nessus
刚好这个特征就是awvs的

然后我们使用http contains acunetix过滤

发现大量的awvs的特征，可以说明是用awvs进行扫描的
第一题完成

2. 请分析流量，得到黑客扫描到的登陆后台是(相对路径即可)

登录后台无非就两种方法，POST和GET。因为GET方法比较不安全
在提交的时候url会出现这种情况

可以确认第一步，登陆后台99%使用的是POST方法，直接使用过滤器过滤一下http.request.method=="POST"，有rec=login的流量进行追踪


302重定向，基本上说明登陆成功

3. 请分析流量，得到黑客使用了什么账号密码登陆了web后台(形式:username/password)

在上一题的基础上，一个一个追踪tcp是不可取的，根据上面的结果，我们可以发现黑客的IP是192.168.94.59，rec=login
所以我们可以这样过滤：http.request.method=="POST" && ip.src==192.168.94.59 && http contains "rec=login"
根据经验，我们找到最后一个包，结果就出来了

（admin/admin!@#pass123）

4. 请分析流量，得到黑客上传的webshell文件名是，内容是什么,提交webshell内容的base编码

这题解法我们可以用这句过滤http.request.method=="POST" and ip.src==192.168.94.59 and http

这明显就有问题，如果说一个正常的网站，images下放的是图片，但这里放了一个a.php很让人怀疑是一句话木马，而且啊，在老师的教学中，为了方便起文件直接a.php或者b.php等，所以怀疑这里大概率是有问题了，我们对其中一个进行tcp追踪

看到这里就很明显了吧，一句话木马的特征，1234为传递值，base64加密过的内容
我们对内容解一下

可以确认是一句话木马了
我们再过滤一下tcp contains "<?php @eval"

5. 请分析流量，黑客在robots.txt中找到的flag是什么

题目说robots.txt，然后就过滤哈http contains "robots.txt"

flag:87b7cb79481f317bde90c116cf36084b

6. 请分析流量，黑客找到的数据库密码是多少

直接过滤http数据包，查看数据包的末尾，如果数据库登陆成功，那么http响应码应该为200,并且一般会包含database，逐一查看响应码为200的数据包，即可找到数据库密码http.response.code==200 and http contains "database"


结果显而易见

7. 请分析流量，黑客在数据库中找到的hash_code是什么

打开webtwo.pcap，我们可以利用hash_code过滤一下，因为上一张图已经知道数据库主机的ip，这一条语句可以ip.src==10.3.3.101 and tcp contains "hash_code"

8. 请分析流量，黑客破解了账号ijnu@test.com得到的密码是什么

直接上语句tcp contains "ijnu@test.com"

MD5解码，得到
em。。。这里搜md5在线解密结果都是要开会员，后来用了老师推荐的一个MD5在线
最后得到edc123!@#

9. 网卡配置是是什么，提交网卡内网ip

无外乎也就那几个，eth0，eth1，lo等等，这次直接搜tcp contains "eth0"

我们可以知道，外网ip192.168.32.189，而内网ip10.3.3.100

10. 请分析流量，黑客使用了什么账号登陆了mail系统（形式: username/password）

11. 请分析流量，黑客获得的vpn的ip是多少

最后两题。参考文章：https://blog.csdn.net/W981113/article/details/122487826

一点小tip

在做题过程中，发现如果数据包里出现中文，就会乱码。这时候打开追踪TCP流，选择原始数据，然后save as 文本文件，即可解决乱码

三、流量包文件

链接：https://pan.baidu.com/s/1VUZSFIfYijvezXw49C1isA
提取码：ls8s