网络安全——流量分析

一、题目背景

某公司内网网络被黑客渗透，简单了解，黑客首先攻击了一台web服务器，破解了后台的账户密码，随之利用破解的账号密码登陆了mail系统，然后获取了的申请方式，然后登陆了，在内网pwn掉了一台打印机，请根据提供的流量包回答下面有关问题

二、关卡列表

1 某公司内网网络被黑客渗透，请分析流量，给出黑客使用的扫描器

2 某公司内网网络被黑客渗透，请分析流量，得到黑客扫描到的登陆后台是(相对路径即可)

3 某公司内网网络被黑客渗透，请分析流量，得到黑客使用了什么账号密码登陆了web后台(形式:username/password)

4 某公司内网网络被黑客渗透，请分析流量，得到黑客上传的webshell文件名是，内容是什么,提交webshell内容的base编码

5 某公司内网网络被黑客渗透，请分析流量，黑客在robots.txt中找到的flag是什么

6 某公司内网网络被黑客渗透，请分析流量，黑客找到的数据库密码是多少
7 某公司内网网络被黑客渗透，请分析流量，黑客在数据库中找到的hash_code是什么

8 某公司内网网络被黑客渗透，请分析流量，黑客破解了账号[email protected]得到的密码是什么

9 某公司内网网络被黑客渗透，请分析流量，被黑客攻击的web服务器，网卡配置是是什么，提交网卡内网ip

10 某公司内网网络被黑客渗透，请分析流量，黑客使用了什么账号登陆了mail系统（形式: username/password）

11某公司内网网络被黑客渗透，请分析流量，黑客获得的的ip是多少

三、解题过程

1.黑客使用的扫描器

广泛使用的扫描器：awvs appscan nessus

这是awvs的图标

打开webone.pcap数据包，查找是否有相关awvs协议特征

http contains acunetix

说明是使用awvs进行扫描的

2.黑客扫描到的登陆后台

后台登录基本都是使用POST方法

http.request.method=="POST"

找到数据，使用右键追踪TCP数据流

发现有302重定向，就是登陆成功了

说明是使用post方法登陆后台的，同时得到了黑客的IP地址为192.168.94.59

3.黑客登录使用的账号密码

设置账号密码切勿和关键字–root admin等、个人信息相关！！！密码长度最好大于10位

发现有login.php?rec=login

http.request.method=="POST" and ip.src==192.168.94.59 and http contains "rec=login"

查看最后黑客登录成功后的数据包或者查看length长度值跨度较大的数据包分析，双击之后打开html信息

得到黑客使用的账号和密码信息

4.webshell文件名和内容

一句话木马的格式

@符号是为了防止后边的语句报错

翻阅数据包发现存在a.php文件，但在image目录下有些奇怪，使用php文件的关键字eval

就得到了文件名，发现1234为传递值

盲猜可能是一句话木马，但是用http并没有发现数据，考虑到是tcp重传的原因，故将http换为tcp之后再过滤一遍

http contains "

http.request.method=="POST" and ip.src==192.168.94.59 and tcp contains "eval"

追踪一下tcp流

使用base64解码得到相应的内容和路径（z1=后边）

5.robots.txt中的flag

robots主要是防止百度蜘蛛的爬取，不想让百度蜘蛛抓取到我的后台

robots可以查看网站的类型，开源或者闭源，近期有无漏洞出现

robots是一个文件，需要直接导出http对象，在文本过滤器中选择robots.txt，将文件保存下来，即可获得flag

6.数据库密码

直接过滤数据包，如果数据包登陆成功，则http的响应值为200，并且一般会包含database

http.response.code==200 and http contains "database"

$dbpass后边的数据即为数据库密码

7.hash_code

打开webtwo流量包

得到数据库的主机是10.3.3.101

ip.src==10.3.3.101 and tcp contains "hash_code"

使用追踪TCP数据流，得到hash_code

8.黑客破解了账号[email protected]得到的密码是什么

在webtwo流量包中，使用分组详情，查到密码

tcp contains "[email protected]"

或者直接使用上边的语法进行过滤

再使用md5进行解密

9.被黑客攻击的web服务器，网卡配置是什么，提交网卡内网ip

打开webone流量包，网卡的配置一般都为eth0或者ens33

tcp contains "eth0"

追踪一下tcp流

得到网卡内网的配置 内网IP为10.3.3.100

10.黑客使用了什么账号登陆了mail系统

需要综合来看mailtwo.pcap和mailtwo1.pcap两个数据包

先查询下mailtwo.pcap这个数据包，关键字mail或者email

http.request.method==POST && http contains "mail" 

先随便找了个密码，得到加密方式为AES，登录用户名为wenwenni

但需要找到加密的密钥，找一个状态码为200的追踪TCP流

http.response.code==200

这是AES的CBC加密，填充格式为ZeroPadding，密钥为字符串1234567812345678的hash值，iv偏移量为1234567812345678

同样42号数据显示登录用户名为wenwenni

44号数据显示{“success”:true}，代表登陆成功

(http contains "{\"success\":true}" or http.request.method=="POST") and ip.addr==192.168.94.59

发现都是在爆破，最后也没有出现成功的

查看第二个流量包mailtwo1
从后往前看，18152是登陆成功的返回结果，对应的17126则应该就是正确的加密后的密码

1234567812345678 必须经过md5加密后才可以使用的key

d959caadac9b13dcb3e609440135cf54

再使用aes解密工具

获得最终的账号密码

admin

admin!@#PASS123

11.黑客获得的的ip是多少

打开one流量包，统计端点

发现大部分为外网地址，看two

流量大的地址，即为黑客获得的地址10.3.4.3

流量包在这里
链接：https://pan.baidu.com/s/16b6zjzNzcOoRHRyAY3iwkQ?pwd=e9jh
提取码：e9jh