流量分析

一、题目背景

某公司内网网络被黑客渗透，简单了解，黑客首先攻击了一台web服务器，破解了后台的账户密码，随之利用破解的账号密码登陆了mail系统，然后获取了vpn的申请方式，然后登陆了vpn，在内网pwn掉了一台打印机，请根据提供的流量包回答下面有关问题

二、关卡列表

1 某公司内网网络被黑客渗透，请分析流量，给出黑客使用的扫描器

2 某公司内网网络被黑客渗透，请分析流量，得到黑客扫描到的登陆后台是(相对路径即可)

3 某公司内网网络被黑客渗透，请分析流量，得到黑客使用了什么账号密码登陆了web后台(形式:username/password)

4 某公司内网网络被黑客渗透，请分析流量，得到黑客上传的webshell文件名是，内容是什么,提交webshell内容的base编码

5 某公司内网网络被黑客渗透，请分析流量，黑客在robots.txt中找到的flag是什么

6 某公司内网网络被黑客渗透，请分析流量，黑客找到的数据库密码是多少
7 某公司内网网络被黑客渗透，请分析流量，黑客在数据库中找到的hash_code是什么

8 某公司内网网络被黑客渗透，请分析流量，黑客破解了账号ijnu@test.com得到的密码是什么

9 某公司内网网络被黑客渗透，请分析流量，被黑客攻击的web服务器，网卡配置是是什么，提交网卡内网ip

10 某公司内网网络被黑客渗透，请分析流量，黑客使用了什么账号登陆了mail系统（形式: username/password）

11某公司内网网络被黑客渗透，请分析流量，黑客获得的vpn的ip是多少

三、解题过程

1.黑客使用的扫描器

打开webone.pcap数据包，按照协议类型排序一下，看到http协议的时候，发现了明显的awvs的特征
打开webone.pcap数据包，过滤后发现了很多awvs的特征，说明是用awvs进行扫描的

http contains acunetix

2.黑客扫描到的登录后台

一般来说，登录后台使用的都是POST方法，使用过滤器过滤一下，出现的第一个不出意外就是登录后台的的地址

http.request.method=="POST"

追踪TCP流，出现302重定向的基本就是登录成功了

3.黑客登录使用的账号密码

经过查看发现了很多出现302重定向的结果，于是发现了很多账号和密码，为了确定黑客使用的是哪一个账号密码，我们首先确定一下黑客使用的IP地址，刚刚看到使用awvs进行扫描的源地址一定就是黑客的ip。然后使用过滤器再次过滤一下。发现很多的尝试登录信息。

http.request.method=="POST" and ip.src==192.168.94.59 and http contains "rec=login"

最后一条尝试登录的信息说明就是登录成功了之后结束了尝试，我们看一下数据包，可以找到账号和密码。

4.webshell文件名和内容

通过下面的语句过滤一下数据，翻阅数据包后发现了一个a.php可能有点蹊跷，但是没有发现他是如何上传的，不过追踪一下TCP流，发现1234为传递值，并有base64加密过的内容，解密一下发现是php代码，以z1为传递值，z1也是使用了base64加密过的内容，再次解密一下得到了一个目录。总结上面的东西发现好像并没有什么作用…

http.request.method=="POST" and ip.src==192.168.94.59 and http

从这些基本可以断定webshell是使用PHP写的，盲猜一下是php一句话木马，使用下面的语句过滤一下，没有发现数据。

http contains "<?php @eval"

考虑到可能是tcp重传的原因，导致http中没追踪到，把http换成tcp再次过滤后查看，最终找到了webshell的内容

tcp contains "<?php @eval"

5.robots.txt中的flag

直接导出http对象，在文本过滤器中选择robots.txt，将文件保存下来，即可获得flag

6.数据库密码

直接过滤http数据包，查看数据包的末尾，如果数据库登陆成功，那么http响应码应该为200,并且一般会包含database，逐一查看响应码为200的数据包，即可找到数据库密码

http.response.code==200 and http contains "database"

7.hash_code

打开webtwo流量包，
可以先利用这个关键字查找一下，但是没有发现什么，既然还是关于数据库的，在上面我们已经知道数据库的主机是10.3.3.101，可以先查这个ip有什么数据。

ip.src==10.3.3.101 and tcp contains "hash_code"

8.黑客破解了账号ijnu@test.com得到的密码是什么

这里有两种方法：
1.使用分组详情查询的方法

2.过滤器过滤

tcp contains "ijnu@test.com"

然后解密一下就可以得到密码

9.被黑客攻击的web服务器，网卡配置是什么，提交网卡内网ip

回到webone.pcap这个流量包中，这个问题问的是网卡的配置，一般网卡的名称都为eth0,所以可以利用这个关键词进行查询

tcp contains "eth0"

追踪一下tcp流，即可发现网卡的相关配置

从这里也可以找到内网IP为10.3.3.100

10.黑客使用了什么账号登陆了mail系统

这题需要综合来看mailtwo.pcap和mailtwo1.pcap两个数据包。
先查询下mailtwo.pcap这个数据包，一开始利用POST和mail过滤了下

http.request.method==POST && http contains "mail"

发现黑客进行大量的登陆尝试，随便找了一个密码，先看看是什么加密的

不是base64,应该是AES加密，但需要找到加密的密钥，所以还是得重新过滤在服务器返回的信息中去查找，就先只过滤一下http,随便找一个状态码为200的追踪下TCP流，在服务器返回的信息中发现

这是AES的CBC加密，填充格式为ZeroPadding，密钥为字符串1234567812345678的hash值，偏移量为1234567812345678
既然加密方式知道了，下面只需要找到正确的账号密码即可
在过滤了http后，发现第一条数据有logout,查看了一下Cookie信息，发现了登陆的用户名
在42号数据请求中，发现登录用户为wenwenni，再查看一下返回数据44号中出现{“success”:true}，代表登陆成功。

然后使用以下过滤方法，发现mailtwo.pcap中都是爆破，最后也没有成功，同样的在mailtwo1.pcap中查询

(http contains "{\"success\":true}" or http.request.method=="POST") and ip.addr==192.168.94.59

从后往前看，18152是登陆成功的返回结果，对应的17126则应该就是正确的加密后的密码

此时，我们已经知道了加密方式是AES
iv偏移量为1234567812345678
（1234567812345678）经过md5加密后的key：d959caadac9b13dcb3e609440135cf54
登陆用户名是wenwenni
加密后的登录密码：+ZgE14UGcFcyRGLI0/ZXPQ==

aes解密工具：http://tool.chacuo.net/cryptaes

最后得到密码为admin!@#123。

11.黑客获得的vpn的ip是多少

这一题需要用到的数据包是vpnone.pcap和vpntwo.pcap，这一题有两种方法：
方法一：
首先我们知道黑客当前的IP是192.168.94.59，用以下的筛选方法查询一下

ip.dst==192.168.94.59 and ppp

方法二：
首先统计vpnone，发现其中IP多为局域网内IP

发现vpntwo中出现了不一样的结果

其中出现的最为频繁的分别是10.3.4.96、10.3.4.55和10.3.4.3，然后我们在会话中可以看到10.3.4.96和10.3.4.3发出的包远远多于其他的IP

经过筛选以后发现10.3.4.96是sub服务器

然后再筛选另一个流量较大的IP（10.3.4.55），发现他只有两个包，而且是10.3.4.3首选in去PING它的，这里基本就可以确定10.3.4.3就是黑客VPN的IP了！

ip.addr==10.3.4.55 and ip.addr==10.3.4.3

流量分析（安恒八月月赛）相关推荐

流量分析——安恒八月月赛CTF
一.题目背景某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网p ...
流量分析_安恒八月月赛
前言: 流量分析很有意思,之前忙于考试,暂时没有学习了,考试结束了就来总结一下一些CTF下常见的流量分析的题型. 0x00:流量包修复使用wireshark打开流量包发现报错,可以使用在线pacp包 ...
流量分析——安恒科技（八月CTF）
流量分析一.题目背景二.关卡列表三.解题过程 1.黑客使用的扫描器 2.黑客扫描到的登陆后台 3.黑客登陆web后台所使用的账号密码(形式:username/password) 4.黑客上传的w ...
ctf流量分析练习二
上次的流量分析做的我一个脑袋两个大!但是不能放弃啊,再找一些题来练练手 0x01 经典题型 CTF题型主要分为流量包修复.WEB流量包分析.USB流量包分析和其他流量包分析. 01 流量包修复比赛过 ...
网络流量分析神器：SecBI
本文讲的是网络流量分析神器:SecBI ,网络流量分析工具早已广为使用,可提升企业网络效率,定位未使用的容量和带宽,消除瓶颈.最近此类工具也被列入了网络安全工具范畴.这很容易理解,因为除了内部人威胁, ...
网络异常_网络异常易频发，流量分析来排查
随着网络技术的飞速发展,越来越多的客户将关键业务迁移到网络之上,大量不同类型的网络设备应用于网络的构建中,一方面扩展了网络的业务种类,另一方面提高了故障出现的概率.如何保障关键业务持续高效.稳定的运行 ...
2021年中国工业互联网安全大赛核能行业赛道writeup之usb流量分析
目录一.USB协议二.键盘流量三.鼠标流量四.writeup 附件题:usb流量分析题目描述: 具体描述忘记了o(╯□╰)o 大概意思是有个U盘插到电脑上,然后经过一些操作导致该电脑重启了. ...
如何使用 Druid 和 Kafka 构造 Kappa 架构完成流量分析
NTT 是一家全球电信公司,总部设在日本东京.在<财富>世界 500 强中,NTT 是世界第四大电信公司.NTT 通信 (NTT Com) 是 NTT 的子公司,其全球 IP 网络 (GI ...
wireshark tcp data中文_wireshark流量分析入门
点击蓝字关注我们吧! wireshark流量分析入门打开wireshark后,按ctrl+K,勾选需要抓包的网卡,我这里勾选WLAN. 点击Start开始抓包. wireshark过滤器表达式协议 ...

流量分析（安恒八月月赛）