关卡描述:1.oa服务器的内网ip是多少?
先进行ip统计,开始逐渐查看前面几个ip
基本上都是b/s,所以大概率是http,过滤一下ip
第一个ip好像和oa没啥关系
第二个ip一点开就是
oa,应该就是他了。
关卡描述:2.黑客的攻击ip是多少
ip.src==ip,这个过滤源ip的过滤语句
我们第一个怀疑黑客目标就是183.129.152.140
用ip.addr的过滤太乱了
过滤一下源ip是他的
get 请求了很多东西,他这个是在她像是在扫扫描了,zip文件大概率就是在扫描文件下载的漏洞。然后就要开始一个一个去分析数据包,找到黑客的证据
锁定黑客ip,往下滑还有他执行命令的数据包,也可以判断。
关卡描述:3.黑客使用了什么工具?(简称,大写)
AWVS
4.黑客给哪2个帐号发送了钓鱼邮件?(填写邮件名)
邮件协议SMTP、POP3、IMAP4
我们一个一个过滤看看‘
第一个就有
所以是,it@t3sec.cc,lixiaofei@t3sec.cc
关卡描述:5.黑客使用了哪个邮箱给员工发送了钓鱼邮件?
上一题就有
xsser@live.cn
关卡描述:6.黑客对哪个参数进行了注入并且成功了?
过滤黑客ip查看数据包,然后找一下看看
select语句,目标ip是172.16.61.199,在过滤ip
这里要用到url中关键字搜索http.request.uri contains
搜索关键字等于号,因为sql注入在urlget请求头中存在的可能性更大
第三个流量包什么也没有
在来到第四个流量包
关键字union,select。
解码一下,第一个是对name=aa进行的注入
过滤一下这个参数看看
在这里发现了数据包回显,
注入成功。
关卡描述:7.oa账号密码的加密方式是什么?(大写)
第四个包啥都没找到继续
直到第十个包还要name注入的,tcp流查看
22009
可以判断出来是md5加密
关卡描述:8.webshell的权限是什么?
webshelii,要过滤whoami,
第十个数据包
只有这一条追踪tcp流看
是在apache这里执行的权限,所以是这个
关卡描述:9.内网数据库ip地址多少?
这个要看主机ip的全流量,不管协议
ip.addr==172.16.61.199
这四个最可能是内网的ip,
先看一下172.16.60.195
mysql,数据库,就是他了
10.内网oa数据库的用户名是什么?
继续分析上一个流量包,慢慢看
找到了root
关卡描述:11黑客使用了哪个页面的漏洞获取了webshell(填写文件名即可)?
怀疑是文件上传的post格式过滤黑客ip
这个提交了不正确,依据他进行过滤
20160809092842.php
第十个一直都在执行这个命令,不对,在之前的流量包,
第九个流量包
追踪tcp流看看
叫什么名字,上传的啥全显示出来了
关卡描述:12.webshell第2行代码是什么?
上一题图里面有
/* angel 2013*/
关卡描述:13.webshell的密码是多少(明文)?
上一题两个密码都用burp解不出来,应该都不是,继续看数据包,这个数据包没有证明在后面的数据包,继续找。还是过滤数字的php文件,
第一个数据包点开就是angel
关卡描述:14.黑客企图下载了哪几个数据库?(逗号隔开文件)
这个关于数据库的下载,要用到sql语句,所以过滤黑客ip和关键字sql,因为下载通常以get请求,所以在过滤get请求方式,在最后一个数据包
ip.addr==183.129.152.140 and http contains "sql"and http.request.method=="GET"
分别对下载数据的流量包追踪tcp流,然后打开看看
404表示这个数据包下载失败了
答案是oa.sql,crm.sql。
关卡描述:15.黑客遗留了一个后门,该后门如何编写最短代码来执行phpinfo
关于这一题,前面遗留的后门我们已经找到了 20160809092842.php
执行phoinfo需要http协议,所以过滤http和后门关键字。
ip.addr==183.129.152.140 and http contains "20160809092842.php"
看到了这么一个后门,这个后门的用法例如访问网站参数搞成注意a=system&b=whomai
就会执行这个,system(whoami)
ol assert ( mixed $assertion [, string $description ] )
如果 assertion 是字符串,它将会被 assert() 当做 PHP 代码来执行。
所以这一题答案是a=assert&b=phpinfo()
关卡描述:16.黑客对哪些email进行了爆破?
黑客ip和关键字emial过滤一下试试,最后一个数据包啥都没过滤出去,向前看看。
之前的题目还有it黑客,给这个it发过钓鱼邮件,看了很多数据包,密码一直再换,很明显在爆破。
就是他了,it@t3sec.cc。
关卡描述:17.黑客向哪个ip反弹了一个shell
反弹shell,过滤黑客一句话木马文件
前面我发现一个私有ip地址输入上去,答案是错误的继续往下面饭,这出戏一个地址,输入一下正确
118.193.179.201
关卡描述:18.黑客预留的后门的文件名是什么?
这题过滤的东西跟上一题一样,留下后门肯定要用到他的一句话木马,
然后就在这看到了一句话木马,上面是名字
admin.bak.php