题目很综合,设计的知识点很好:基本就是渗透的过程,流量的总体内容上就是先通过目录扫描,找到了wp的文件上传位置,然后利用对图片没有过滤的漏洞上传webshell图片马,上传图片马之后又上传了一个连接用的php的webshell,最后进行信息资产收集,对用户信息、ip信息、网站的配置文件,用sqlmap爆破登录网页,最后得到了主机密码,成功完成提权操作。(比赛建议:个人赛一定不要先做流量,时间长还不容易得分)
1.分析流量包检材,给出管理员对web环境进行管理的工具名。(标准格式:小皮)
WordPress
2.分析流量包检材,给出攻击者的ip地址是多少。(标准格式:127.0.0.)
192.168.209.135
这里可以看出来是135给147发的包(包括后面各种渗透的操作),所以是192.168.209.135是攻击者
3.分析流量包检材,给出攻击者爆破出的网站非管理员用户名是。(标准格式:admin)
saber
这个地方有点小坑,一共爆破出的用户名有两个是密码错误,而用户名正确的。但是最后攻击者是使用saber用户登陆的
用下面脚本能运行出来有两个账号是存在,但是密码错误
import os
def find_files_without_string(target_string):
for root, dirs, files in os.walk('.'):
for file in files:
if file.endswith(".html") and "wp-login.php[" in file:
file_path = os.path.join(root, file)
with open(file_path, 'r', encoding='utf-8') as f:
content = f.read()
if target_string not in content:
print(file_path)
# 使用示例
target_string = '未在本站点注册'
find_files_without_string(target_string)
1056之后都是空的,不用看,重点查看3、11、568、824
saber用户的
luna用户的
后面有一个用saber这个账号cookie登陆的
这个分析后面的流量,可以看到抓取过用户的信息(在116流里面)
4.分析流量包检材,攻击者进行目录扫描得到的具有后门的页面url路径为。(标准格式:/abc.html)
/up_load.html
扫描目录之后,在up_load.html上面上传了webshell
5.分析流量包检材,攻击者通过修改请求包中的哪个字段导致恶意文件成功上传。(标准格式:test-type)
form-data
题目问的是修改什么导致成功上传的,根据渗透的经验来看,一般利用文件上传都是限制文件类型格式,所以这里修改了文件类型,上传了一个图片马
然后成功上传
6.分析流量包检材,攻击者上传成功的恶意文件, 该文件的临时存放路径是。(标准格式:/abc/edf)
/tmp/php38mbeJ
这里先上传了一个图片马
然后在后面又上传了一个phpwebshell脚本,所以我认为恶意文件应该是指下面的phpwebshell
从这里开始是冰蝎3流量解密,通过前面图片马和上传的phpwebshell可以看出来是冰蝎3
小技巧冰蝎3的经典开头3Mn1y:
然后分析流量时,建议先分析响应体再分析访问体。然后冰蝎流量解密用的是默认密钥e45e329feb5d925b,前面流量内容能看到。然后用aes解密——>base64就可以了。
两次base64解密
7.分析流量包检材,服务器php配置文件的存放位置(标准格式:/www/sev/php.ini)
/www/wwroot/wp-config.php
在116流里面找到一个查询目录的操作
在/www/wwroot/这个目录下面查看了文件(答辩的时候说没有后面的地址,可能是有多个服务器?)
在响应的流量中解密找到wp的配置文件
8.分析流量包检材,被攻击的web环境其数据库密码是。(标准格式:qwer1234)
X847Z3QzF1a6MHjR
在流127里面紧接着就抓取了配置文件
分析响应流量得到密码
9.分析流量包检材,服务器管理存放临时登录密码的位置。(标准格式:/tmp/pass)
/tmp/tmppass
这里有个小技巧,一般流量的抓取都是到抓到渗透到主机为止,所以这里从后往前分析会快一点。
在最后一段加密流量里面
10.分析流量包检材,黑客获取的高权限主机的登录密码。(标准格式:qwer1234)
passwd!@#
最后一个加密流量就是
原文始发于微信公众号(网络安全与取证研究):2024届龙信杯电子数据取证题解-流量分析部分
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论