传送门网站是怎么做的,网站设计的基本步骤,自己能否建立公司网站,图片制作二维码的方法关卡描述#xff1a;1.oa服务器的内网ip是多少#xff1f;
先进行ip统计#xff0c;开始逐渐查看前面几个ip
基本上都是b/s#xff0c;所以大概率是http#xff0c;过滤一下ip 第一个ip好像和oa没啥关系
第二个ip一点开就是
oa#xff0c;应该就是他了。
关卡描述1.oa服务器的内网ip是多少
先进行ip统计开始逐渐查看前面几个ip
基本上都是b/s所以大概率是http过滤一下ip 第一个ip好像和oa没啥关系
第二个ip一点开就是
oa应该就是他了。
关卡描述2.黑客的攻击ip是多少
ip.srcip,这个过滤源ip的过滤语句
我们第一个怀疑黑客目标就是183.129.152.140
用ip.addr的过滤太乱了
过滤一下源ip是他的 get 请求了很多东西他这个是在她像是在扫扫描了zip文件大概率就是在扫描文件下载的漏洞。然后就要开始一个一个去分析数据包找到黑客的证据 锁定黑客ip往下滑还有他执行命令的数据包也可以判断。
关卡描述3.黑客使用了什么工具(简称大写)
AWVS
4.黑客给哪2个帐号发送了钓鱼邮件填写邮件名
邮件协议SMTP、POP3、IMAP4
我们一个一个过滤看看‘ 第一个就有
所以是itt3sec.cclixiaofeit3sec.cc 关卡描述5.黑客使用了哪个邮箱给员工发送了钓鱼邮件
上一题就有
xsserlive.cn
关卡描述6.黑客对哪个参数进行了注入并且成功了
过滤黑客ip查看数据包然后找一下看看 select语句目标ip是172.16.61.199在过滤ip
这里要用到url中关键字搜索http.request.uri contains
搜索关键字等于号因为sql注入在urlget请求头中存在的可能性更大
第三个流量包什么也没有
在来到第四个流量包 关键字unionselect。
解码一下第一个是对nameaa进行的注入
过滤一下这个参数看看 在这里发现了数据包回显
注入成功。 关卡描述7.oa账号密码的加密方式是什么大写
第四个包啥都没找到继续
直到第十个包还要name注入的tcp流查看
22009 可以判断出来是md5加密
关卡描述8.webshell的权限是什么
webshelii要过滤whoami
第十个数据包
只有这一条追踪tcp流看 是在apache这里执行的权限所以是这个
关卡描述9.内网数据库ip地址多少
这个要看主机ip的全流量不管协议
ip.addr172.16.61.199 这四个最可能是内网的ip
先看一下172.16.60.195 mysql数据库就是他了
10.内网oa数据库的用户名是什么
继续分析上一个流量包慢慢看 找到了root
关卡描述11黑客使用了哪个页面的漏洞获取了webshell(填写文件名即可)
怀疑是文件上传的post格式过滤黑客ip
这个提交了不正确依据他进行过滤
20160809092842.php
第十个一直都在执行这个命令不对在之前的流量包
第九个流量包 追踪tcp流看看 叫什么名字上传的啥全显示出来了 关卡描述12.webshell第2行代码是什么
上一题图里面有
/* angel 2013*/ 关卡描述13.webshell的密码是多少(明文)
上一题两个密码都用burp解不出来应该都不是继续看数据包这个数据包没有证明在后面的数据包继续找。还是过滤数字的php文件 第一个数据包点开就是angel 关卡描述14.黑客企图下载了哪几个数据库逗号隔开文件
这个关于数据库的下载要用到sql语句所以过滤黑客ip和关键字sql因为下载通常以get请求所以在过滤get请求方式在最后一个数据包
ip.addr183.129.152.140 and http contains sqland http.request.methodGET 分别对下载数据的流量包追踪tcp流然后打开看看
404表示这个数据包下载失败了 答案是oa.sql,crm.sql。
关卡描述15.黑客遗留了一个后门该后门如何编写最短代码来执行phpinfo
关于这一题前面遗留的后门我们已经找到了 20160809092842.php
执行phoinfo需要http协议所以过滤http和后门关键字。
ip.addr183.129.152.140 and http contains 20160809092842.php
看到了这么一个后门这个后门的用法例如访问网站参数搞成注意asystembwhomai
就会执行这个systemwhoami
ol assert ( mixed $assertion [, string $description ] )如果 assertion 是字符串它将会被 assert() 当做 PHP 代码来执行。
所以这一题答案是aassertbphpinfo() 关卡描述16.黑客对哪些email进行了爆破
黑客ip和关键字emial过滤一下试试最后一个数据包啥都没过滤出去向前看看。
之前的题目还有it黑客给这个it发过钓鱼邮件看了很多数据包密码一直再换很明显在爆破。
就是他了itt3sec.cc。
关卡描述17.黑客向哪个ip反弹了一个shell
反弹shell过滤黑客一句话木马文件
前面我发现一个私有ip地址输入上去答案是错误的继续往下面饭这出戏一个地址输入一下正确 118.193.179.201
关卡描述18.黑客预留的后门的文件名是什么
这题过滤的东西跟上一题一样留下后门肯定要用到他的一句话木马
然后就在这看到了一句话木马上面是名字 admin.bak.php
