长城网络靶场第三题

 关卡描述：1.oa服务器的内网ip是多少？

先进行ip统计，开始逐渐查看前面几个ip

基本上都是b/s，所以大概率是http，过滤一下ip

第一个ip好像和oa没啥关系

第二个ip一点开就是

oa，应该就是他了。

关卡描述：2.黑客的攻击ip是多少

ip.src==ip,这个过滤源ip的过滤语句

我们第一个怀疑黑客目标就是183.129.152.140

用ip.addr的过滤太乱了

过滤一下源ip是他的 

get        请求了很多东西，他这个是在她像是在扫扫描了，zip文件大概率就是在扫描文件下载的漏洞。然后就要开始一个一个去分析数据包，找到黑客的证据

锁定黑客ip，往下滑还有他执行命令的数据包，也可以判断。

关卡描述：3.黑客使用了什么工具？(简称，大写)

AWVS

4.黑客给哪2个帐号发送了钓鱼邮件？（填写邮件名）

邮件协议SMTP、POP3、IMAP4

我们一个一个过滤看看‘

第一个就有

所以是，[email protected]，[email protected]

 关卡描述：5.黑客使用了哪个邮箱给员工发送了钓鱼邮件？

上一题就有

[email protected]

关卡描述：6.黑客对哪个参数进行了注入并且成功了？

过滤黑客ip查看数据包，然后找一下看看

select语句，目标ip是172.16.61.199，在过滤ip

这里要用到url中关键字搜索http.request.uri contains

搜索关键字等于号，因为sql注入在urlget请求头中存在的可能性更大

第三个流量包什么也没有

在来到第四个流量包

关键字union，select。

解码一下，第一个是对name=aa进行的注入

过滤一下这个参数看看

注入成功。

 关卡描述：7.oa账号密码的加密方式是什么？（大写）

第四个包啥都没找到继续

直到第十个包还要name注入的，tcp流查看

22009

可以判断出来是md5加密

关卡描述：8.webshell的权限是什么？

webshelii，要过滤whoami，

第十个数据包

只有这一条追踪tcp流看

是在apache这里执行的权限，所以是这个

关卡描述：9.内网数据库ip地址多少？

这个要看主机ip的全流量，不管协议

ip.addr==172.16.61.199

这四个最可能是内网的ip，

先看一下172.16.60.195

mysql，数据库，就是他了

10.内网oa数据库的用户名是什么？

继续分析上一个流量包，慢慢看

找到了root

关卡描述：11黑客使用了哪个页面的漏洞获取了webshell(填写文件名即可)？

怀疑是文件上传的post格式过滤黑客ip

这个提交了不正确，依据他进行过滤

20160809092842.php 

第十个一直都在执行这个命令，不对，在之前的流量包，

第九个流量包

追踪tcp流看看

叫什么名字，上传的啥全显示出来了

 关卡描述：12.webshell第2行代码是什么？

上一题图里面有

/* angel 2013*/

 关卡描述：13.webshell的密码是多少(明文)？

上一题两个密码都用burp解不出来，应该都不是，继续看数据包，这个数据包没有证明在后面的数据包，继续找。还是过滤数字的php文件，

第一个数据包点开就是angel