流量分析 - 流量分析训练题

admin
admin
admin
138484
文章
114
评论
2025年3月18日22:10:59评论3 views字数 4853阅读16分10秒阅读模式
流量分析训练题 web.pcap
流量分析 - 流量分析训练题

题目背景

某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题

流量分析 - 流量分析训练题

关卡列表web.pcap

1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器

2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)

3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登录了web后台(形式:username/password)

4 某公司内网网络被黑客渗透,请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码

5 某公司内网网络被黑客渗透,请分析流量,黑客在robots.txt中找到的flag是什么

6 某公司内网网络被黑客渗透,请分析流量,黑客找到的数据库密码是多少

7 某公司内网网络被黑客渗透,请分析流量,黑客在数据库中找到的hash_code是什么

8 某公司内网网络被黑客渗透,请分析流量,黑客破解了账号[email protected]得到的密码是什么

9 某公司内网网络被黑客渗透,请分析流量,被黑客攻击的web服务器,网卡配置是是什么,提交网卡内网ip

解题思路

1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器

关于扫描器现在主流的扫描器就那几个,搜一下他们的特征码

扫描器 User-Agent关键词 测试路径/参数 Payload特征
行为模式
AWVS Acunetix

WVS
 /admin

、Cookie注入
随机字符串测试
高频扫描敏感目录
AppScan AppScan

IBM
 /cgi-bin/

、随机参数
参数名含AppScan_
模拟用户登录流程
Nessus Nessus

Tenable
非HTTP端口探测
畸形协议包
系统/网络层漏洞探测
SQLMap sqlmap

(可能隐藏)
 /phpmyadmin AND 1=1

SLEEP(5)
专注SQL注入,逐参数测试

一个一个试试,过滤http包 ctrl+f 打开查找 选择分组字节流 搜wvs 找到AWVS扫描器特征

流量分析 - 流量分析训练题

扫描器:AWVS

2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)

做这个先要分析常见的后台登录页面路径,不然在几十万的流量包里面找几个登录页面效率太慢了。分析题目黑客登录了后台登录提交的表单一般是POST提交,过滤一下POST流量

http.request.method==POST
流量分析 - 流量分析训练题

拿到登录地址:/admin/login.php?rec=login

3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登录了web后台(形式:username/password)

知道登录地址和攻击者IP现在进行过滤,找到攻击者登录成功的包

http.request.method==POST and http contains "rec=login" and ip.addr == 192.168.94.59
流量分析 - 流量分析训练题

看到有很多包,这里都是在尝试登录直接看最后一个,追踪流

流量分析 - 流量分析训练题

看到服务器回应302重定向成功,已经登录上了找到这个登录的流量包。

流量分析 - 流量分析训练题

登录 : admin/admin!@#pass123

4 某公司内网网络被黑客渗透,请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码

上传了webshell,上传肯定是POST过滤一下

http.request.method==POST and ip.addr == 192.168.94.59

还是一样直接看最下面,

流量分析 - 流量分析训练题

上面还是admin下面变成images了包是连接上木马的流量了,追踪流第一个images的包

流量分析 - 流量分析训练题

看到文件上传成功,那就是这个了

在线解密 https://www.toolhelper.cn/EncodeDecode/Url?type=2

QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOzskRD1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejEiXSk7JEY9QG9wZW5kaXIoJEQpO2lmKCRGPT1OVUxMKXtlY2hvKCJFUlJPUjovLyBQYXRoIE5vdCBGb3VuZCBPciBObyBQZXJtaXNzaW9uISIpO31lbHNleyRNPU5VTEw7JEw9TlVMTDt3aGlsZSgkTj1AcmVhZGRpcigkRikpeyRQPSRELiIvIi4kTjskVD1AZGF0ZSgiWS1tLWQgSDppOnMiLEBmaWxlbXRpbWUoJFApKTtAJEU9c3Vic3RyKGJhc2VfY29udmVydChAZmlsZXBlcm1zKCRQKSwxMCw4KSwtNCk7JFI9Ilx0Ii4kVC4iXHQiLkBmaWxlc2l6ZSgkUCkuIlx0Ii4kRS4iCiI7aWYoQGlzX2RpcigkUCkpJE0uPSROLiIvIi4kUjtlbHNlICRMLj0kTi4kUjt9ZWNobyAkTS4kTDtAY2xvc2VkaXIoJEYpO307ZWNobygifDwtIik7ZGllKCk7&z1=L3Zhci93d3cvaHRtbC9pbWFnZXMvYXJ0aWNsZQ%3D%3Durl 解码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base64 解码@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$D=dirname($_SERVER["SCRIPT_FILENAME"]);if($D=="")$D=dirname($_SERVER["PATH_TRANSLATED"]);$R="{$D}t";if(substr($D,0,1)!="/"){foreach(range("A","Z") as $L)if(is_dir("{$L}:"))$R.="{$L}:";}$R.="t";$u=(function_exists('posix_getegid'))?@posix_getpwuid(@posix_geteuid()):'';$usr=($u)?$u['name']:@get_current_user();$R.=php_uname();$R.="({$usr})";print $R;;echo("|<-");die();
代码功能解析关闭错误显示:@ini_set("display_errors""0");  // 隐藏所有PHP错误信息@set_time_limit(0);              // 解除脚本执行时间限制(允许长时间攻击)攻击者通过抑制错误提示,避免暴露自身操作接收外部参数:$D = base64_decode($_POST["z1"]); // 解码POST参数z1(需传入Base64编码的目录路径)攻击者通过POST请求传入 z1 参数(如 z1=L3Zhci93d3cvaHRtbA== 解码为 /var/www/html)遍历目录:$F = @opendir($D);  // 尝试打开指定目录while ($N = @readdir($F)) {  // 遍历目录中的文件和子目录    $P = $D . "/" . $N;      // 拼接完整文件路径    $T = @date("Y-m-d H:i:s"@filemtime($P)); // 获取文件修改时间    $E = substr(base_convert(@fileperms($P), 108), -4); // 获取文件权限(八进制格式)    $R = "t" . $T . "t" . @filesize($P) . "t" . $E . "n"// 格式化输出信息代码会递归读取目录下的所有文件/子目录,并收集以下信息:文件名修改时间文件大小权限(如 0755输出结果:echo $M . $L;  // 输出所有目录和文件信息echo("|<-");   // 标记结束符

5 某公司内网网络被黑客渗透,请分析流量,黑客在robots.txt中找到的flag是什么

找文件直接过滤文件

http contains "robots.txt"
流量分析 - 流量分析训练题

追踪流看内容

流量分析 - 流量分析训练题

flag:87b7cb79481f317bde90c116cf36084b

6 某公司内网网络被黑客渗透,请分析流量,黑客找到的数据库密码是多少

涉及到数据库,那肯定是登录了的,查找一下数据库的关键词,过滤字符串200看服务器回应200状态码的包
http contains "database"
流量分析 - 流量分析训练题
追踪流
流量分析 - 流量分析训练题
得到账号和密码 : web/e667jUPvJjXHvEUv
7 某公司内网网络被黑客渗透,请分析流量,黑客在数据库中找到的hash_code是什么
注意看题在数据库里面找东西,上面的题告诉你已经通过密码登录进去数据库了,找东西还是一样直接过滤mysql的流量加上全局查找
mysql contains "hash_code"
流量分析 - 流量分析训练题
追踪流
流量分析 - 流量分析训练题
d1c029893df40cb0f47bcf8f1c3c17ac
8 某公司内网网络被黑客渗透,请分析流量,黑客破解了账号[email protected]得到的密码是什么
直接全局搜[email protected]
流量分析 - 流量分析训练题
追踪流,查找看到了账号和密码
流量分析 - 流量分析训练题
md5在线解密 https://www.somd5.com/
ijnu@test.com/ b78f5aa6e1606f07def6e839121a22ecmd5 解密ijnu@test.com/ edc123!@#
9 某公司内网网络被黑客渗透,请分析流量,被黑客攻击的web服务器,网卡配置是是什么,提交网卡内网ip
网卡配置直接过滤网卡一般网卡名字就那几个eth0 eth1 ens33 lo
流量分析 - 流量分析训练题
追踪流
流量分析 - 流量分析训练题
这里看到eth1是内网IP:10.3.3.100
这一篇到这里就结束了,有错误的地方欢迎各位师傅补充

原文始发于微信公众号(信安一把索):流量分析 - 流量分析训练题

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月18日22:10:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   流量分析 - 流量分析训练题https://cn-sec.com/archives/3816523.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息