前言：

流量分析不同與之前的CTF題，感覺沒有那么多腦洞，考察的就是對(duì)協(xié)議的理解程度，所以還是要多做做，多學(xué)習(xí)!

題目描述

1.黑客的IP是多少2.服務(wù)器1.99的web服務(wù)器使用的CMS及其版本號(hào)(請(qǐng)直接復(fù)制)3.服務(wù)器拿到的webshell的網(wǎng)址(請(qǐng)輸入url解碼后的網(wǎng)址)4.服務(wù)器1.99的主機(jī)名5.網(wǎng)站根目錄的絕對(duì)路徑(注意最后加斜杠)6.黑客上傳的第一個(gè)文件名稱是什么7.黑客進(jìn)行內(nèi)網(wǎng)掃描，掃描的端口都有哪些(端口從小到大，用英文逗號(hào)分隔)8.服務(wù)器2.88的ftp服務(wù)賬號(hào)密碼(格式：賬號(hào)/密碼)9.黑客成功登陸ftp的時(shí)間(格式：10:15:36)10.黑客在ftp中下載的敏感文件名稱是什么11.服務(wù)器2.88中用戶名為admin_zz的web后臺(tái)管理員的密碼12.服務(wù)器2.88的mysql賬號(hào)密碼(格式：賬號(hào)/密碼)13.服務(wù)器2.88的mysql服務(wù)中有和admin有關(guān)的三個(gè)表，請(qǐng)按照黑客的查詢順序作答，使用空格分隔14.請(qǐng)列出黑客設(shè)置的genreal log的絕對(duì)路徑(將路徑復(fù)制出來(lái)，區(qū)分大小寫)15.路由器的品牌、型號(hào)、版本(請(qǐng)直接復(fù)制粘貼)16.列出路由器的所有IP地址(格式：從小到大，用英文逗號(hào)分隔)17.在路由器的端口監(jiān)控中，監(jiān)控端口和被監(jiān)控端口分別是多少，例，1號(hào)端口監(jiān)控2/3/4號(hào)端口:1-->2,3,418.路由器一共有幾個(gè)接口?其中有幾個(gè)WAN口啟用?有幾個(gè)LAN口啟用(格式:用英文逗號(hào)分隔)19.路由器的系統(tǒng)路由表中一共有幾條?第三條的子網(wǎng)掩碼是多少。例: 255 255.255.0則為24 (格式:用英文逗號(hào)分隔)20.路由器的5Gwif名稱是什么，信道是多少(格式:名稱信道)

做題過(guò)程

0x00:黑客的IP是多少

先打開第一個(gè)數(shù)據(jù)包data-1_00001_20180205135424

數(shù)據(jù)包中有很多的IP地址

但是判斷哪個(gè)是黑客的IP不能單憑從哪個(gè)IP數(shù)量多出發(fā)，需要看有明顯的特征那種

過(guò)濾一下請(qǐng)求方式

http.request.method==POST

看到這么明顯的特征，所以可以判斷黑客的IP

黑客的IP:202.1.1.2

0x01:服務(wù)器1.99的web服務(wù)器使用的CMS及其版本號(hào)

知道了黑客的IP地址，再次進(jìn)行過(guò)濾

ip.addr == 202.1.1.2 && http

找一個(gè)192.168.1.99響應(yīng)包，查詢下Powered by

使用的CMS及其版本號(hào):EasyTalk X2.0.1

0x02:服務(wù)器拿到的webshell的網(wǎng)址(請(qǐng)輸入url解碼后的網(wǎng)址)

過(guò)濾后

ip.addr == 202.1.1.2 && http

隨便找一個(gè)包，發(fā)現(xiàn)

解碼后為

webshell的網(wǎng)址: http://202.1.1.1/index.php/module/action/param1/${7B@print(eval($_POST[c]))}

0x03:服務(wù)器1.99的主機(jī)名

在相同的過(guò)濾方法中，發(fā)現(xiàn)有phpinfo

既然問主機(jī)名，去phpinfo里看最方便，將響應(yīng)的代碼復(fù)制下來(lái)到本地運(yùn)行

主機(jī)名:Linux simplefight1

0x04:網(wǎng)站根目錄的絕對(duì)路徑

網(wǎng)站根目錄的絕對(duì)路徑:/var/www/html/easytalk/

0x05:黑客上傳的第一個(gè)文件名稱是什么

上傳文件肯定是以POST方式進(jìn)行上傳的，所以更改下過(guò)濾方法

ip.addr == 202.1.1.2 && http.request.method==POST

按照時(shí)間來(lái)看，第一個(gè)上傳的文件是tunnel.nosocket.php

解碼后為/var/www/html/easytalk/tunnel.nosocket.php

黑客上傳的第一個(gè)文件名稱是什么:tunnel.nosocket.php

0x06:黑客進(jìn)行內(nèi)網(wǎng)掃描，掃描的端口都有哪些

解碼后是/var/www/html/easytalk/scan.php，文件名就是掃描，再更改下過(guò)濾方式

ip.addr == 202.1.1.2 && http contains "scan.php"

掃描的端口都有:21,80,1433,3306,8080,8888

0x07:服務(wù)器2.88的ftp服務(wù)賬號(hào)密碼

黑客之前打下的機(jī)器IP為192.168.1.99,所以之后應(yīng)該是利用此服務(wù)器作為跳板進(jìn)行攻擊

打開data-1_00002_20180205140203流量包，過(guò)濾下ftp

發(fā)現(xiàn)黑客在嘗試登陸FTP，往下翻找到

登陸成功，所以用戶密碼為

administrator/123456

0x08:黑客成功登陸ftp的時(shí)間

14:07:15

0x09:黑客在ftp中下載的敏感文件名稱是什么

FTP請(qǐng)求中有一個(gè)PASV，即被動(dòng)FTP模式，是FTP協(xié)議的一種連接方式。

連接過(guò)程：客戶端向服務(wù)器的FTP端口（默認(rèn)是21）發(fā)送連接請(qǐng)求，服務(wù)器接受連接，建立一條命令鏈路。

做這個(gè)題目前，最好簡(jiǎn)單了解一下FTP的一些命令

MODE 傳輸模式（S=流模式，B=塊模式，C=壓縮模式） USER <username>> 系統(tǒng)登錄的用戶名 PASS <password> 系統(tǒng)登錄密碼 PASV 請(qǐng)求服務(wù)器等待數(shù)據(jù)連接 PORT <address> IP 地址和兩字節(jié)的端口 ID RETR <filename> 從服務(wù)器上找回（復(fù)制）文件

在data-1_00003_20180205141028流量包中先過(guò)濾ftp發(fā)現(xiàn)下載了config_db.php

也可以使用飄零師傅的過(guò)濾方式

ip.src == 192.168.1.99 && ftp contains "RETR" #直接出現(xiàn)

config_db.php

0x10: 用戶名為admin_zz的web后臺(tái)管理員的密碼

在第三個(gè)包中過(guò)濾一下

http contains "admin_zz" && http.request.method==POST

發(fā)現(xiàn)

密碼：1q2w3e4r

0x11:mysql賬號(hào)密碼(格式：賬號(hào)/密碼)

前面已經(jīng)知道了黑客將/phpStudy/WWW/config/config_db.php這個(gè)文件給下載下來(lái)了，可以查看一下這個(gè)配置文件，過(guò)濾方式如下：

ip.addr==192.168.1.99 && ftp-data、 #ftp-data可以具體的列出數(shù)據(jù)

root/S1mp13zz

0x12:mysql服務(wù)中有和admin有關(guān)的三個(gè)表

在第三個(gè)包中過(guò)濾下mysql，往下查詢到

met_admin_array met_admin_column met_admin_table

看了飄零師傅的WP，發(fā)現(xiàn)我的是有點(diǎn)浪費(fèi)時(shí)間，應(yīng)該結(jié)合之前我們看到的表前綴再進(jìn)行過(guò)濾下

ip.addr==192.168.1.99 && mysql contains "met_"

0x13:列出黑客設(shè)置的genreal log的絕對(duì)路徑

首先要了解下general log是什么？

general log即General Query Log，記錄了mysql服務(wù)器的操作。當(dāng)客戶端連接、斷開連接、接收到客戶端的SQL語(yǔ)句時(shí)，會(huì)向general log中寫入日志。開啟general_log會(huì)損失一定的性能，但是在開發(fā)、測(cè)試環(huán)境下開啟日志，可以幫忙加快排查出現(xiàn)的問題。

在第四個(gè)包中進(jìn)行過(guò)濾

mysql && ip.addr==192.168.1.99

先打開了，繼續(xù)往后面看發(fā)現(xiàn)

絕對(duì)路徑:c:/phpStudy/WWW/config/config.php

0x14:路由器的品牌、型號(hào)、版本

有關(guān)路由器的題目基本沒有接觸過(guò)，沒一點(diǎn)思路，看了飄零師傅的WP且查了一些資料

路由器的默認(rèn)IP,一般為 192.168.1.1 或 192.168.0.1

常用路由器的默認(rèn)登錄IP、用戶名及密碼

可以先使用一個(gè)進(jìn)行過(guò)濾下，使用如下的過(guò)濾方法

ip.addr == 192.168.0.1 && http

后面的幾個(gè)包都沒有相應(yīng)的內(nèi)容，最后在第一個(gè)包（data-1_00001_20180205135424）中查詢到了192.168.0.1

在一個(gè)狀態(tài)碼為200的響應(yīng)包中出現(xiàn)了路由器的品牌、型號(hào)、版本

路由器的品牌、型號(hào)、版本：TL-WAR1300L v1.0

0x15:列出路由器的所有IP地址

前面黑客應(yīng)該是在嘗試登陸進(jìn)路由器，error_code為700,不過(guò)到下面就變成了0，應(yīng)該是登陸進(jìn)去了

在下面可以找到很多狀態(tài)碼為200的數(shù)據(jù)，打開最后一個(gè)發(fā)現(xiàn)

可以使用json格式化工具將代碼格式化一下
http://www.bejson.com/

{"id":1,"result":{"normal":[{"py_isup":true,"ipaddr":"202.1.1.1","t_type":"ethernet","t_isup":"connect","t_name":"WAN1","t_linktype":"static" },{"py_isup":true,"ipaddr":"192.168.12.173","t_type":"ethernet","t_isup":"internet","t_name":"WAN2","t_linktype":"dhcp" },{"py_isup":true,"ipaddr":"192.168.0.1","dhcp_status":"on","t_type":"ethernet","t_name":"LAN1","t_isup":"connect","t_linktype":"static" },{"py_isup":true,"ipaddr":"192.168.0.1","dhcp_status":"on","t_type":"ethernet","t_name":"LAN2","t_isup":"connect","t_linktype":"static" },{"py_isup":false,"ipaddr":"192.168.0.1","dhcp_status":"on","t_type":"ethernet","t_name":"LAN3","t_isup":"disconnect","t_linktype":"static" } ] },"error_code":"0" }

結(jié)果便一目了然了

所有IP地址:192.168.0.1,192.168.12.173,202.1.1.1

0x16:監(jiān)控端口和被監(jiān)控端口分別是多少

涉及到關(guān)鍵詞port,可以再進(jìn)行過(guò)濾下

ip.addr == 192.168.0.1 && http contains "port"

發(fā)現(xiàn)

3-->1,2

0x17一共有幾個(gè)接口?其中有幾個(gè)WAN口啟用?有幾個(gè)LAN口啟用

WAN (Wide Area Network)，廣域網(wǎng)
LAN （Local Area Network)，局域網(wǎng)

由0x15問題得到的結(jié)果可知，一共五個(gè)接口，其中2個(gè)WAN口啟用，2個(gè)LAN口啟用 5,2,2

0x18系統(tǒng)路由表中一共有幾條?第三條的子網(wǎng)掩碼是多少。

因?yàn)樯婕暗搅俗泳W(wǎng)掩碼，所以肯定涉及到網(wǎng)關(guān)gateway，作為關(guān)鍵詞過(guò)濾一下

ip.addr == 192.168.0.1 && http contains "gateway"

格式化一下

{"id":1,"result":[{"metric":"0","gateway":"192.168.12.254","mask":"0.0.0.0","dest":"0.0.0.0","interface":"WAN2" },{"metric":"0","gateway":"0.0.0.0","mask":"255.0.0.0","dest":"127.0.0.0","interface":"lo" },{"metric":"0","gateway":"0.0.0.0","mask":"255.255.252.0","dest":"192.168.0.0","interface":"LAN" },{"metric":"0","gateway":"0.0.0.0","mask":"255.255.255.0","dest":"192.168.12.0","interface":"WAN2" },{"metric":"0","gateway":"0.0.0.0","mask":"255.255.255.0","dest":"202.1.1.0","interface":"WAN1" } ],"error_code":"0" }

metric：路由開銷。是路由算法用以確定到達(dá)目的地的最佳路徑的計(jì)量標(biāo)準(zhǔn)，如路徑長(zhǎng)度。

系統(tǒng)路由表中一共有五條,第三條的子網(wǎng)掩碼是255.255.252.0 5,24

0x19路由器的5Gwif名稱是什么，信道是多少

信道（Channel），可以利用這個(gè)關(guān)鍵詞去過(guò)濾下，也可以使用5G去過(guò)濾下

名稱是 test-ge1 信道是 36

總結(jié)

對(duì)于路由器部分的協(xié)議以及基礎(chǔ)知識(shí)還是太陌生，之后有時(shí)間了補(bǔ)一補(bǔ)路由器方面的知識(shí)！

參考博客

一葉飄零

總結(jié)

以上是生活随笔為你收集整理的2018.5.18信息安全铁人三项赛数据赛复现的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。