B-6:流量分析
任务环境说明:
服务器场景:Server09
服务器场景操作系统:未知(关闭连接)
系统用户名:administrator密码:123456
使用Wireshark查看并分析靶机桌面下的capture.pcapng数据包文件,找到的IP地址,并将的IP地址作为Flag值(如:172.16.1.1)提交;
过滤语句:tcp.connection.syn
flag:172.16.1.110
继续分析capture.pcapng数据包文件,找出通过工具对目标服务器的哪些服务进行了密码暴力枚举渗透测试,将服务对应的端口依照从小到大的顺序依次排列作为Flag值(如:77/88/99/166/1888)提交;
过滤语句:tcp.connection.syn and ip.src == 172.16.1.110
flag:21/22/23/3306
继续分析capture.pcapng数据包文件,找出已经获取到目标服务器的基本信息,请将获取到的目标服务器主机名作为Flag值提交;
过滤语句: ip.addr == 172.16.1.110 and telnet contains “login”
- flag:SecTesLabs
- 继续分析capture.pcapng数据包文件,找出成功破解了哪个服务的密码,并将该服务的版本号作为Flag值(如:5.1.10)提交;
过滤语句:ip.addr == 172.16.1.110 and tcp.port ==3306
通过追踪其中一个登录的数据包发现了数据库版本信息
flag:5.7.26
继续分析capture.pcapng数据包文件,通过数据库写入了木马,将写入的木马名称作为Flag值提交(名称不包含后缀)
继续使用上一题的过滤规则:
发现序号6197中的info信息一栏,选中该数据包然后选择追踪流—tcp流
- 可以看到这数据包中,已经进入数据库,并开始查数据库信息了;
发现通过into outfile命令写入一句木马horse.php
flag:horse - 继续分析capture.pcapng数据包文件,通过数据库写入了木马,将写入的一句话木马的连接密码作为Flag值提交;
flag:lqsym
继续分析capture.pcapng数据包文件,找出连接一句话木马后查看了什么文件,将查看的文件名称作为Flag值提交;
过滤语句:http contains “horse.php”
以此对三个数据包进行追踪流的操作,发现最后两个会话流中遍历了/etc/passwd文件。
- flag:passwd
- 继续分析capture.pcapng数据包文件,可能找到异常用户后再次对目标服务器的某个服务进行了密码暴力枚举,成功破解出服务的密码后登录到服务器中下载了一张图片,将图片文件中的英文单词作为Flag值提交。
从上面的步骤中我们可以发现查看了passwd文件,通过分析文件可以看到有一个suictsr247用户
下面我们对该字段进行搜索,使用快捷键Ctrl+F打开数据包显示过滤器,搜索字符串为suictsr247的数据包
发现对目标靶机实施ftp暴力破解,使用过滤规则ftp contains“230”进行过滤,过滤出Response返回值230即成功登录ftp服务器的数据包。
- 过滤后发现有登录成功的提示(Login successful),已经获得了ftp服务器的密码,并成功登录到了靶机的服务器中。对上面的数据包进行追踪流
会话流中我们发现了flag.jpg的文件大小为56489字节即接近56kb大小的文件极有可能为下载的图片文件,下面使用过滤公式ftp-data来过滤服务器发送数据的流量。
选择任意一个包,跟踪流——跟踪TCP流
接下来我们选择显示和保存为原始数据,
选择Raw源数据,然后点击Save as 保存为jpg文件进行查看。
flag:harmony
