流量分析（信息安全铁人三项赛分区赛2-5.18）

题目描述

目录

题目描述

黑客的IP是多少

服务器1.99的web服务器使用的CMS及其版本号(请直接复制)

服务器拿到的webshell的网址(请输入url解码后的网址)

服务器1.99的主机名

网站根目录的绝对路径(注意最后加斜杠)

黑客上传的第一个文件名称是什么

黑客进行内网扫描，扫描的端口都有哪些(端口从小到大，用英文逗号分隔)

服务器2.88的ftp服务账号密码(格式：账号/密码)

黑客成功登陆ftp的时间(格式：10:15:36)

黑客在ftp中下载的敏感文件名称是什么

服务器2.88中用户名为admin_zz的web后台管理员的密码

服务器2.88的mysql账号密码(格式：账号/密码)

服务器2.88的mysql服务中有和admin有关的三个表，请按照黑客的查询顺序作答，使用空格分隔

请列出黑客设置的genreal log的绝对路径(将路径复制出来，区分大小写)

路由器的品牌、型号、版本(请直接复制粘贴)

列出路由器的所有IP地址(格式：从小到大，用英文逗号分隔)

在路由器的端口监控中，监控端口和被监控端口分别是多少，例，1号端口监控2/3/4号端口:1—>2,3,4

路由器一共有几个接口?其中有几个WAN口启用?有几个LAN口启用(格式:用英文逗号分隔)

路由器的系统路由表中一共有几条?第三条的子网掩码是多少。例: 255 255.255.0则为24 (格式:用英文逗号分隔)

路由器的5Gwif名称是什么，信道是多少(格式:名称信道)

---

黑客的IP是多少

先看数据包1

首先过滤出http流量进行大致的分析

http

数据包太杂并没有什么收获

通过关键字查找看看有没有什么东西

http contains "phpinfo"

这里能明显看到黑客访问192.168.1.99服务器的phpinfo（）文件

黑客ip：202.1.1.2

服务器1.99的web服务器使用的CMS及其版本号(请直接复制)

一般来说网页的最下面都会出现服务器使用的cms以及版本号

这里随意追查一个访问1.99服务器主页的流量并追踪http流(点击流量包然后ctrl+shift+h)

http contains "index" && ip.dst == 192.168.1.99

CMS:  EasyTalk X2.0.1

服务器拿到的webshell的网址(请输入url解码后的网址)

webshell这里就得考虑黑客是利用的原有后门还是通过上传页面上传

通过搜索黑客对服务器的POST流量分析黑客动向

ip.src == 202.1.1.2 && http.request.method == POST

很明显,  这里就是黑客拿到的webshell网址

/index.php/module/action/param1/${@print(eval($_POST[c]))}

服务器1.99的主机名

这里继续分析流量包

能发现黑客通过后门下载了phpinfo文件,  这里面有服务器的所有配置我们导出分析也可直接追踪http流

Linux simplefight1 2.6.32-431.el6.x86_64

网站根目录的绝对路径(注意最后加斜杠)

这里也是在phpinfo中查找

/var/www/html/easytalk

黑客上传的第一个文件名称是什么

继续分析黑客通过webshell的操作

当读到这个数据包时,  发现黑客上传了一个scan.php数据包

z2传输的似乎是16进制字节

黑客进行内网扫描，扫描的端口都有哪些(端口从小到大，用英文逗号分隔)

这里猜测因该是通过上面黑客上传的scan.php来扫描内网

查看黑客访问上传的scan.php的流量

ip.src == 202.1.1.2 && http contains "scan.php"

第一个数据包访问scan.php是否存在,  第二个数据包就开始扫描了

21,80,8080,1433,3306

服务器2.88的ftp服务账号密码(格式：账号/密码)

服务器2.88是内网的服务器,  黑客拿下了1.99服务器通过1.99服务器域横向进行内网渗透

所以这里我们找1.99服务器ip发出的ftp数据包

这里能看到黑客对2.88服务器的爆破

这里我们直接拖到最下面,  发现服务器2.88对1.99服务器返回了login in的数据包,  那么说明正确的账户密码就在上一个1.99对2.88服务器发送的数据包中

PASS 123456

黑客成功登陆ftp的时间(格式：10:15:36)

成功登录的时间不就是上一题我们找到的登陆成功的数据包吗

Feb  5, 2018 14:07:15.348499000 中国标准时间

黑客在ftp中下载的敏感文件名称是什么

这里继续向下分析(这里使用流量包3)

这里就需要找到黑客登录ftp服务器在phpstudy中下载的配置文件了

首先过滤ip.addr == 192.168.1.99 && ftp-data

直接ctrl+shift+slt+t追踪数据流

这里下载了config_db.php文件

服务器2.88中用户名为admin_zz的web后台管理员的密码

因为是web后台管理员,  这里可以直接搜索1.99服务器登录2.88web的流量包

ip.src == 192.168.1.99 && ip.dst == 192.168.2.88 && http contains "admin_zz"

找到登录密码:   1q2w3e4r

服务器2.88的mysql账号密码(格式：账号/密码)

这里可以去看黑客通过webshell导出的config_db.php文件,  数据库账户密码在里面(这里继续分析)

root/S1mp13zz

服务器2.88的mysql服务中有和admin有关的三个表，请按照黑客的查询顺序作答，使用空格分隔

这里可以从数据库配置config_db.php文件中得知,  表前缀是met_,  我们直接找这个特征

ip.addr == 192.168.1.99 && mysql contains "met_"

追踪tcp流能看到三关于admin的表

met_admin_array     met_admin_column     met_admin_table

请列出黑客设置的genreal log的绝对路径(将路径复制出来，区分大小写)

这里可以一个一个去分析黑客通过数据库做了什么,  也可以直接搜关键字genreal

ip.addr == 192.168.1.99 && mysql

这里先去一点一点分析

这里可以看到黑客先想上传webshell但是报错了

这里黑客查询了点东西数据库正常返回了

这里黑客把global general_log打开了

直到这个数据包黑客设置了general_log_file

c:/phpStudy/WWW/config/config.php

路由器的品牌、型号、版本(请直接复制粘贴)

像这里就需要知道一个常识,  一般路由器页面的默认管理ip是192.168.0.1

查看每个数据包是否有对这个ip的流量

(筛选后只有数据包1和数据包2有流量 ,   先分析数据包1)

查看访问此ip的http流量

ip.addr == 192.168.0.1 && http

查看到这里的时候1.99服务器登录成功以后访问页面返回了路由器平牌型号版本

{ "id":1, "result":{ "locale":"zh_CN", "force":false, "radio":2, "model":"TL-WAR1300L v1.0" }, "error_code":"0" }

列出路由器的所有IP地址(格式：从小到大，用英文逗号分隔)

搜索关键字WAN1

普通家用型路由器会有WAN端口和LAN端口，

用户常常闹不清他们的作用。

简单来说WAN端口用于外网，LAN端口用于内网。

ip.addr == 192.168.0.1 && http contains "WAN1"

当读到这个数据包时找到路由器ip：

192.168.0.1，192.168.12.173，202.1.1.1

在路由器的端口监控中，监控端口和被监控端口分别是多少，例，1号端口监控2/3/4号端口:1—>2,3,4

搜索关键字port

ip.addr == 192.168.0.1 && http contains "port"

当看到这个数据包时能找到

3->1,2

路由器一共有几个接口?其中有几个WAN口启用?有几个LAN口启用(格式:用英文逗号分隔)

搜索关键字WAN

ip.addr == 192.168.0.1 && http contains "WAN"

找到组号为2723的流量包以后追踪tcp流

这里能明显看到开启了两个wan口两个lan口lan3关闭了

路由器的系统路由表中一共有几条?第三条的子网掩码是多少。例: 255 255.255.0则为24 (格式:用英文逗号分隔)

这里直接找网关的关键字gateway（因为要想传出信息必定会走网关出去）

ip.addr == 192.168.0.1 && http contains "gateway"

当看到这里的时候找到需要的信息

追踪tcp流

这里能看到总共有五个网关，第三个的子网掩码是/24

路由器的5Gwif名称是什么，信道是多少(格式:名称信道)

ip.addr == 192.168.0.1 && http contains "5G"

追踪tcp流

名字test-ge1，信道36