铁三的数据赛个人感觉出的非常好,比较适合我这样的新手,有兴趣的师傅们可以来玩一玩啊!
这里给大家共享一下
6.1比赛数据包
链接: https://pan.baidu.com/s/11-T-IeXRFRbdTrn5g96gXQ
密码: p5j8
解压密码:t3sec.org.cn
5.18比赛数据包
链接: https://pan.baidu.com/s/1H-jbnLtwYfnP_FYmzydlvw
密码: m7aq
6.1比赛
题目给的信息大致就是黑客攻击了一台服务器,并以这个服务器为跳板扫描内网,继续攻击了一台内网主机
记不太清了
题目问题
1.被攻击的两个服务器的内网ip分别是多少,以下简称服务器1和2(格式:空格分隔,按黑客攻击顺序排列)
2.两台服务器的主机名分别是什么
3.黑客使用了什么工具对服务器1进行的攻击(小写)
4.黑容成功登陆网站后台的账号密码以及验证码是什么(格式user/pass/vcode)
5.黑客向服务器1写入webshell的具体命令是什么(url解码后)
6.服务器1都开启了哪些允许外连的TCP注册端口(端口号从小到大,用空格间隔)
7.服务器1安装的修补程序名称
8.网站根目录的绝对路径(注意:大写,左斜杠,最后要有一个斜杠)
9.黑客使用什么命令或文件进行的内网扫描
10.扫描结果中服务器2开放了哪些端口(端口号从小到大,用空格隔开)
11.黑客执行的什么命令将administrator的密码保存到文件中
12.服务器1的系统管理员administrator的密码是什么
13.黑客进行内外扫描的ip范围(格式:xx.xx.xx.xx~xx.xx.xx.xx)
14.服务器1的mysql的root用户的密码是什么
15.黑客在服务器2中查看了哪个敏感文件(拿到shell之后),请写出绝对路径
16.服务器2的web网站后台账号密码(格式:账号/密码)
17.黑客在redis未授权访问中反弹shell的ip和端口是多少
18.黑客拿到root权限后执行的第二条命令是什么
19.服务器2的root用户密码是什么
20.黑客向服务器2写入webshell的命令
21.pcap中哪些ip发送过无偿ARP包(空格分隔,时间顺序排序)
1个G+的流量包,首先wareshark导出http特定分组.
1.被攻击的两个服务器的内网ip分别是多少,以下简称服务器1和2
然后用Omnipeek打开导出的http包,查看peerMap
peerMap1.png
直接就可以看到192.1681.74与202.1.1.2之间的颜色最亮,而且没有其他的线,很奇怪,所以初步判断这两个有问题,然后在导出第二个数据包,在继续看
peerMap2.png
仍然192.1681.74与202.1.1.2之间的颜色最亮,在打开第三个
peerMap3.png
第四个
peerMap4.png
第5个
peerMap5.png
第6个
peerMap6.png
啊,可以很清楚的看到这三个主机很符合题意,并且比赛的时候一道题有5次提交机会,想错都难.....
不过看图也能发现是谁先与内网建立连接的,肯定就是那两个主机
第一题答案
192.168.1.74 192.168.2.66
接下来就只需要分析三个主机之间的故事就好 了
用wareshark导出这三个主机之间的故事
(ip.addr== 202.1.1.2 || ip.addr == 192.168.1.74||ip.addr == 192.168.2.66)
导出分组
剩下的就简单了,已经没有混淆流量了。
2.两台服务器的主机名分别是什么
说到主机名,考虑phpinfo,然后使用wareshark直接搜关键字
不知道还有没有其他的方法呢,欢迎小伙伴们补充
本菜不知道其他方法
找第一个主机的phpinfo
ip.addr== 192.168.1.74 && http contains "phpinfo"
host1.png
同理,另外一台主机也有了(第2个和第六个)
host2.png
答案
TEST-7E28AF8836
cloude
3.黑客使用了什么工具对服务器1进行的攻击(小写)
这个太简答 了,直接看就好
sqlmap.png
答案
salmap
4.黑容成功登陆网站后台的账号密码以及验证码是什么(格式user/pass/vcode)
工具分析,黑客是在第二个数据包中拿到了1.74的权限,直接看攻击者干了什么
ip.addr== 202.1.1.2 && http.request.method == "POST"
login.png
答案
admin/adminlwphp/WD7x
5.黑客向服务器1写入webshell的具体命令是什么(url解码后)
直接看攻击者干了什么
ip.src == 202.1.1.2
cmd.png
url解码
13312 632.176257 202.1.1.2 192.168.1.74 HTTP 489 GET /tmpbjhbf.php?
cmd=echo ^>abc.php HTTP/1.1
典型的中国菜刀一句话木马
答案
echo^>abc.php
6.服务器1都开启了哪些允许外连的TCP注册端口(端口号从小到大,用空格间隔)
黑客已经拿中国菜刀连接上了,而且是windows电脑,所以会用到netstat指令
对指令进行过滤
ip.addr== 202.1.1.2 || ip.addr == 192.168.1.74 && http contains "abc"
可以看到聪明的黑客对指令进行了base64编码
逐条解密
@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;
$m=get_magic_quotes_gpc();$f=$m?stripslashes($_POST["z1"]):$_POST["z1"];
echo(mkdir($f)?"1":"0");;echo("|<-");die();
port.png
答案
80135 139 445 1025 3306 3389
1025,3306,3389(可外连)
7.服务器1安装的修补程序名称
继续向下看黑客使用了哪些命令
隔一两条就能发现解码如下的东西
@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$p=base64_decode($_POST["z1"]);$s=base64_decode($_POST["z2"]);$d=dirname($_SERVER["SCRIPT_FILENAME"]);$c=substr($d,0,1)=="/"?"-c \"{$s}\"":"/c \"{$s}\"";$r="{$p} {$c}";@system($r." 2>&1",$ret);print ($ret!=0)?"
ret={$ret}
":"";;echo("|<-");die();&z1=cmd&z2=cd /d "C:\WWW\"&systeminfo&echo [S]&cd&echo [E]
pack.png
答案
Q147222
8.网站根目录的绝对路径(注意:大写,左斜杠,最后要有一个斜杠)
root.png
根据之前的也可以知道,直接就是那个
C:/www/
9.黑客使用什么命令或文件进行的内网扫描
这个题想到了比赛时候渗透那个题,学长还是厉害,给一个什么都没有的主机装了一大堆工具,然后扫描内网,爽歪歪....
scan(导出相应的包后可以看到的Map).png
scan.png
答案
scan.php
10.扫描结果中服务器2开放了哪些端口(端口号从小到大,用空格隔开)
老套路
ip.addr== 202.1.1.2 || ip.addr == 192.168.1.74 && http contains "scan"
这里被自己坑了,找了半天没有找到,以后确定了ip就要回到原ip中重新导出相应ip的包,删除无效包切记切记
最后返回源文件中终于找到了相应ip
port_3.png
密码
803306 6379
12.服务器1的系统管理员administrator的密码是什么
同样是在第三个数据包中,继续向下看
mimikz.png
追踪流,直接看到被改的密码
change.png
Username : Administrator
Password : Simplexue123
11.黑客执行的什么命令将administrator的密码保存到文件中
继续在这附近找,最终解码如下
change.png
z0=@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$F=base64_decode($_POST["z1"]);$P=@fopen($F,"r");echo(@fread($P,filesize($F)));@fclose($P);;echo("|<-");die();&z1=C:\\WWW\\my\\mimi\\log.txt
答案
log.txt
13.黑客进行内外扫描的ip范围(格式:xx.xx.xx.xx~xx.xx.xx.xx)
前面找端口的时候可以直接看到ip范围
答案
192.168.1.1~192.168.3.255
14.服务器1的mysql的root用户的密码是什么
直接搜索关键字sql
db.png
答案
$mydbhost="localhost";
$mydbuser="root";
$mydbpw ="windpasssql";
$mydbname="510cms";
15.黑客在服务器2中查看了哪个敏感文件(拿到shell之后),请写出绝对路径
catcat.png
catcat.png
答案
/etc/shadow
16.服务器2的web网站后台账号密码(格式:账号/密码)
直接搜关键字root 或者admin
pw.png
答案
admin/112233.com
root/7u8i9o0p
17.黑客在redis未授权访问中反弹shell的ip和端口是多少
前面顺便可以找到15
答案
202.1.1.2/6666
18.黑客拿到root权限后执行的第二条命令是什么
前面顺便可以找到
答案
cd/var/www/html
19.服务器2的root用户密码是什么
Simplexue123
emmmmmmm
这个考脑洞,自己体会
20.黑客向服务器2写入webshell的命令
也顺便可以找到
答案
`echo'indexs.php`
21.pcap中哪些ip发送过无偿ARP包(空格分隔,时间顺序排序)
google一下就能知道无偿arp包与arp有关,同时无偿包有如下特点
https://blog.csdn.net/chiyuwei1766/article/details/50717588.png
直接搜关键字
arp && arp.isgratuitous == true
然后在第1个和第4个里面可以找到
forth.png
first.png
答案
192.168.3.213
192.168.3.6
192.168.3.19