前言：

流量分析不同與之前的CTF題，感覺沒有那么多腦洞，考察的就是對協議的理解程度，所以還是要多做做，多學習!

題目描述

1.黑客的IP是多少2.服務器1.99的web服務器使用的CMS及其版本號(請直接復制)3.服務器拿到的webshell的網址(請輸入url解碼后的網址)4.服務器1.99的主機名5.網站根目錄的絕對路徑(注意最后加斜杠)6.黑客上傳的第一個文件名稱是什么7.黑客進行內網掃描，掃描的端口都有哪些(端口從小到大，用英文逗號分隔)8.服務器2.88的ftp服務賬號密碼(格式：賬號/密碼)9.黑客成功登陸ftp的時間(格式：10:15:36)10.黑客在ftp中下載的敏感文件名稱是什么11.服務器2.88中用戶名為admin_zz的web后臺管理員的密碼12.服務器2.88的mysql賬號密碼(格式：賬號/密碼)13.服務器2.88的mysql服務中有和admin有關的三個表，請按照黑客的查詢順序作答，使用空格分隔14.請列出黑客設置的genreal log的絕對路徑(將路徑復制出來，區分大小寫)15.路由器的品牌、型號、版本(請直接復制粘貼)16.列出路由器的所有IP地址(格式：從小到大，用英文逗號分隔)17.在路由器的端口監控中，監控端口和被監控端口分別是多少，例，1號端口監控2/3/4號端口:1-->2,3,418.路由器一共有幾個接口?其中有幾個WAN口啟用?有幾個LAN口啟用(格式:用英文逗號分隔)19.路由器的系統路由表中一共有幾條?第三條的子網掩碼是多少。例: 255 255.255.0則為24 (格式:用英文逗號分隔)20.路由器的5Gwif名稱是什么，信道是多少(格式:名稱信道)

做題過程

0x00:黑客的IP是多少

先打開第一個數據包data-1_00001_20180205135424

數據包中有很多的IP地址

但是判斷哪個是黑客的IP不能單憑從哪個IP數量多出發，需要看有明顯的特征那種

過濾一下請求方式

http.request.method==POST

看到這么明顯的特征，所以可以判斷黑客的IP

黑客的IP:202.1.1.2

0x01:服務器1.99的web服務器使用的CMS及其版本號

知道了黑客的IP地址，再次進行過濾

ip.addr == 202.1.1.2 && http

找一個192.168.1.99響應包，查詢下Powered by

使用的CMS及其版本號:EasyTalk X2.0.1

0x02:服務器拿到的webshell的網址(請輸入url解碼后的網址)

過濾后

ip.addr == 202.1.1.2 && http

隨便找一個包，發現

解碼后為

webshell的網址: http://202.1.1.1/index.php/module/action/param1/${7B@print(eval($_POST[c]))}

0x03:服務器1.99的主機名

在相同的過濾方法中，發現有phpinfo

既然問主機名，去phpinfo里看最方便，將響應的代碼復制下來到本地運行

主機名:Linux simplefight1

0x04:網站根目錄的絕對路徑

網站根目錄的絕對路徑:/var/www/html/easytalk/

0x05:黑客上傳的第一個文件名稱是什么

上傳文件肯定是以POST方式進行上傳的，所以更改下過濾方法

ip.addr == 202.1.1.2 && http.request.method==POST

按照時間來看，第一個上傳的文件是tunnel.nosocket.php

解碼后為/var/www/html/easytalk/tunnel.nosocket.php

黑客上傳的第一個文件名稱是什么:tunnel.nosocket.php

0x06:黑客進行內網掃描，掃描的端口都有哪些

解碼后是/var/www/html/easytalk/scan.php，文件名就是掃描，再更改下過濾方式

ip.addr == 202.1.1.2 && http contains "scan.php"

掃描的端口都有:21,80,1433,3306,8080,8888

0x07:服務器2.88的ftp服務賬號密碼

黑客之前打下的機器IP為192.168.1.99,所以之后應該是利用此服務器作為跳板進行攻擊

打開data-1_00002_20180205140203流量包，過濾下ftp

發現黑客在嘗試登陸FTP，往下翻找到

登陸成功，所以用戶密碼為

administrator/123456

0x08:黑客成功登陸ftp的時間

14:07:15

0x09:黑客在ftp中下載的敏感文件名稱是什么

FTP請求中有一個PASV，即被動FTP模式，是FTP協議的一種連接方式。

連接過程：客戶端向服務器的FTP端口（默認是21）發送連接請求，服務器接受連接，建立一條命令鏈路。

做這個題目前，最好簡單了解一下FTP的一些命令

MODE 傳輸模式（S=流模式，B=塊模式，C=壓縮模式） USER <username>> 系統登錄的用戶名 PASS <password> 系統登錄密碼 PASV 請求服務器等待數據連接 PORT <address> IP 地址和兩字節的端口 ID RETR <filename> 從服務器上找回（復制）文件

在data-1_00003_20180205141028流量包中先過濾ftp發現下載了config_db.php

也可以使用飄零師傅的過濾方式

ip.src == 192.168.1.99 && ftp contains "RETR" #直接出現

config_db.php

0x10: 用戶名為admin_zz的web后臺管理員的密碼

在第三個包中過濾一下

http contains "admin_zz" && http.request.method==POST

發現

密碼：1q2w3e4r

0x11:mysql賬號密碼(格式：賬號/密碼)

前面已經知道了黑客將/phpStudy/WWW/config/config_db.php這個文件給下載下來了，可以查看一下這個配置文件，過濾方式如下：

ip.addr==192.168.1.99 && ftp-data、 #ftp-data可以具體的列出數據

root/S1mp13zz

0x12:mysql服務中有和admin有關的三個表

在第三個包中過濾下mysql，往下查詢到

met_admin_array met_admin_column met_admin_table

看了飄零師傅的WP，發現我的是有點浪費時間，應該結合之前我們看到的表前綴再進行過濾下

ip.addr==192.168.1.99 && mysql contains "met_"

0x13:列出黑客設置的genreal log的絕對路徑

首先要了解下general log是什么？

general log即General Query Log，記錄了mysql服務器的操作。當客戶端連接、斷開連接、接收到客戶端的SQL語句時，會向general log中寫入日志。開啟general_log會損失一定的性能，但是在開發、測試環境下開啟日志，可以幫忙加快排查出現的問題。

在第四個包中進行過濾

mysql && ip.addr==192.168.1.99

先打開了，繼續往后面看發現

絕對路徑:c:/phpStudy/WWW/config/config.php

0x14:路由器的品牌、型號、版本

有關路由器的題目基本沒有接觸過，沒一點思路，看了飄零師傅的WP且查了一些資料

路由器的默認IP,一般為 192.168.1.1 或 192.168.0.1

常用路由器的默認登錄IP、用戶名及密碼

可以先使用一個進行過濾下，使用如下的過濾方法

ip.addr == 192.168.0.1 && http

后面的幾個包都沒有相應的內容，最后在第一個包（data-1_00001_20180205135424）中查詢到了192.168.0.1

在一個狀態碼為200的響應包中出現了路由器的品牌、型號、版本

路由器的品牌、型號、版本：TL-WAR1300L v1.0

0x15:列出路由器的所有IP地址

前面黑客應該是在嘗試登陸進路由器，error_code為700,不過到下面就變成了0，應該是登陸進去了

在下面可以找到很多狀態碼為200的數據，打開最后一個發現

可以使用json格式化工具將代碼格式化一下
http://www.bejson.com/

{"id":1,"result":{"normal":[{"py_isup":true,"ipaddr":"202.1.1.1","t_type":"ethernet","t_isup":"connect","t_name":"WAN1","t_linktype":"static" },{"py_isup":true,"ipaddr":"192.168.12.173","t_type":"ethernet","t_isup":"internet","t_name":"WAN2","t_linktype":"dhcp" },{"py_isup":true,"ipaddr":"192.168.0.1","dhcp_status":"on","t_type":"ethernet","t_name":"LAN1","t_isup":"connect","t_linktype":"static" },{"py_isup":true,"ipaddr":"192.168.0.1","dhcp_status":"on","t_type":"ethernet","t_name":"LAN2","t_isup":"connect","t_linktype":"static" },{"py_isup":false,"ipaddr":"192.168.0.1","dhcp_status":"on","t_type":"ethernet","t_name":"LAN3","t_isup":"disconnect","t_linktype":"static" } ] },"error_code":"0" }

結果便一目了然了

所有IP地址:192.168.0.1,192.168.12.173,202.1.1.1

0x16:監控端口和被監控端口分別是多少

涉及到關鍵詞port,可以再進行過濾下

ip.addr == 192.168.0.1 && http contains "port"

發現

3-->1,2

0x17一共有幾個接口?其中有幾個WAN口啟用?有幾個LAN口啟用

WAN (Wide Area Network)，廣域網
LAN （Local Area Network)，局域網

由0x15問題得到的結果可知，一共五個接口，其中2個WAN口啟用，2個LAN口啟用 5,2,2

0x18系統路由表中一共有幾條?第三條的子網掩碼是多少。

因為涉及到了子網掩碼，所以肯定涉及到網關gateway，作為關鍵詞過濾一下

ip.addr == 192.168.0.1 && http contains "gateway"

格式化一下

{"id":1,"result":[{"metric":"0","gateway":"192.168.12.254","mask":"0.0.0.0","dest":"0.0.0.0","interface":"WAN2" },{"metric":"0","gateway":"0.0.0.0","mask":"255.0.0.0","dest":"127.0.0.0","interface":"lo" },{"metric":"0","gateway":"0.0.0.0","mask":"255.255.252.0","dest":"192.168.0.0","interface":"LAN" },{"metric":"0","gateway":"0.0.0.0","mask":"255.255.255.0","dest":"192.168.12.0","interface":"WAN2" },{"metric":"0","gateway":"0.0.0.0","mask":"255.255.255.0","dest":"202.1.1.0","interface":"WAN1" } ],"error_code":"0" }

metric：路由開銷。是路由算法用以確定到達目的地的最佳路徑的計量標準，如路徑長度。

系統路由表中一共有五條,第三條的子網掩碼是255.255.252.0 5,24

0x19路由器的5Gwif名稱是什么，信道是多少

信道（Channel），可以利用這個關鍵詞去過濾下，也可以使用5G去過濾下

名稱是 test-ge1 信道是 36

總結

對于路由器部分的協議以及基礎知識還是太陌生，之后有時間了補一補路由器方面的知識！

參考博客

一葉飄零

總結

以上是生活随笔為你收集整理的2018.5.18信息安全铁人三项赛数据赛复现的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。