文章目录
- 题目背景
- 一、关卡列表
- 二、解题
- 1. 请分析流量,给出黑客使用的扫描器
- 2. 请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)
- 3. 请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)
- 4. 请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码
- 5. 请分析流量,黑客在robots.txt中找到的flag是什么
- 6. 请分析流量,黑客找到的数据库密码是多少
- 7. 请分析流量,黑客在数据库中找到的hash\_code是什么
- 8. 请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么
- 9. 网卡配置是是什么,提交网卡内网ip
- 10. 请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)
- 👉1.成长路线图&学习规划👈
- 👉2.网安入门到进阶视频教程👈
- 👉3.SRC&黑客文档👈
- 👉4.护网行动资料👈
- 👉5.黑客必读书单👈
- 👉6.网络安全岗面试题合集👈
题目背景
某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题
一、关卡列表
-
请分析流量,给出黑客使用的扫描器
-
请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)
-
请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)
-
请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码
-
请分析流量,黑客在robots.txt中找到的flag是什么
-
请分析流量,黑客找到的数据库密码是多少
-
请分析流量,黑客在数据库中找到的hash_code是什么
-
请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么
-
网卡配置是是什么,提交网卡内网ip
-
请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)
二、解题
1. 请分析流量,给出黑客使用的扫描器
打开webone.pcap,按照协议类型排序一下
看到这里是不是比较熟悉?
常用的扫描器也就这几个:awvs,appscan,nessus
刚好这个特征就是awvs的
然后我们使用http contains acunetix
过滤
发现大量的awvs的特征,可以说明是用awvs进行扫描的
第一题完成
2. 请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)
登录后台无非就两种方法,POST和GET
。因为GET方法比较不安全
在提交的时候url会出现这种情况
可以确认第一步,登陆后台99%使用的是POST方法,直接使用过滤器过滤一下http.request.method=="POST"
,有rec=login
的流量进行追踪
302重定向,基本上说明登陆成功
我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程,需要的小伙伴可以扫描下方二维码或链接免费领取~
3. 请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)
在上一题的基础上,一个一个追踪tcp是不可取的,根据上面的结果,我们可以发现黑客的IP是192.168.94.59
,rec=login
所以我们可以这样过滤:http.request.method=="POST" && ip.src==192.168.94.59 && http contains "rec=login"
根据经验,我们找到最后一个包,结果就出来了
(admin/admin!@#pass123)
4. 请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码
这题解法我们可以用这句过滤http.request.method=="POST" and ip.src==192.168.94.59 and http
这明显就有问题,如果说一个正常的网站,images下放的是图片,但这里放了一个a.php很让人怀疑是一句话木马,而且啊,在老师的教学中,为了方便起文件直接a.php或者b.php等,所以怀疑这里大概率是有问题了,我们对其中一个进行tcp追踪
看到这里就很明显了吧,一句话木马的特征,1234为传递值,base64加密过的内容
我们对内容解一下
可以确认是一句话木马了
我们再过滤一下tcp contains "<?php @eval"
5. 请分析流量,黑客在robots.txt中找到的flag是什么
题目说robots.txt,然后就过滤哈http contains "robots.txt"
flag:87b7cb79481f317bde90c116cf36084b
6. 请分析流量,黑客找到的数据库密码是多少
直接过滤http数据包,查看数据包的末尾,如果数据库登陆成功,那么http响应码应该为200,并且一般会包含database,逐一查看响应码为200的数据包,即可找到数据库密码http.response.code==200 and http contains "database"
结果显而易见
7. 请分析流量,黑客在数据库中找到的hash_code是什么
打开webtwo.pcap,我们可以利用hash_code过滤一下,因为上一张图已经知道数据库主机的ip,这一条语句可以ip.src==10.3.3.101 and tcp contains "hash_code"
8. 请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么
直接上语句tcp contains "ijnu@test.com"
MD5解码,得到
em。。。这里搜md5在线解密结果都是要开会员,后来用了老师推荐的一个MD5在线
最后得到edc123!@#
9. 网卡配置是是什么,提交网卡内网ip
无外乎也就那几个,eth0,eth1,lo等等,这次直接搜tcp contains "eth0"
我们可以知道,外网ip192.168.32.189
,而内网ip10.3.3.100
10. 请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)
网络安全学习资源分享:
给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,请看下方扫描即可前往获取
👉1.成长路线图&学习规划👈
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
👉2.网安入门到进阶视频教程👈
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。(全套教程扫描领取哈)
👉3.SRC&黑客文档👈
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦! (全套教程扫描领取哈)
👉4.护网行动资料👈
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
👉5.黑客必读书单👈
👉6.网络安全岗面试题合集👈
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~