流量分析1

安恒八月赛流量分析 （详细的解题过程和思路（mailtwo.pcap，mailtwo1.pcap，mailtone.pcap,mailtwo.pcap等) - 路baby - 博客园 (cnblogs.com)https://www.cnblogs.com/sakura--tears/p/17148294.html

部分内容来源于网络，只是个人学习的总结和记录，参考并借鉴了其他师傅的WP。若有侵权联系删除

题目背景

某公司内网网络被黑客渗透，简单了解，黑客首先攻击了一台web服务器，破解了后台的账户的密码，随之利用破解的密码登录了mail系统，然后获取了vpn的申请方式，然后登录vpn，在内网pwn掉了一台打印

机，请根据提供的流量包回答下面有关问题

1，给出黑客使用的扫描器

awvs

2，得到黑客扫描到的登录后台是(相对路径即可)

/admin/login.php

3，得到黑客使用了什么账号密码登录了web后台(式:username/password)

admin/admin!@#pass123

4，得到黑客上传的webshell文件名是，内容是什么,提交webshell内容的base编码

PD9waHAgQGV2YWwoJF9QT1NUWzEyMzRdKTs/Pg==

5，黑客在robots.txt中找到的flag是什么

flag:87b7cb79481f317bde90c116cf36084b

6，黑客找到的数据库密码是多少

e667jUPvJjXHvEUv

7，黑客在数据库中找到的hashcode是什么

d1c029893df40cb0f47bcf8f1c3c17ac

8，黑客破解了账号[email protected]得到的密码是什么

edc123@#

9，被黑客攻击的web服务器，网卡配置是是什么，提交网卡内网ip

eth0/eth1/10.3.3.100

10，黑客使用了什么账号登录了mail系统(形式:username/password)

admin!@#PASS123

11，黑客获得的vpn的ip是多少

10.3.4.3

1，过滤出提交POST请求的流量  http.request.method==POST

初步推断192.168.94.59是黑客IP地址，192.168.32.189是公司服务器

筛选出192.168.94.59为源的IP地址，查看其有无扫描行为  ip.src==192.168.94.59

发现攻击者大量的扫描行为，发现有acunetix的痕迹，acunetix就是扫描器awvs的特征

awvs扫描器url的特征：

1，acunetix-wvs-test-for-some-inexistent-file
2，by_wvs
3，acunetix_wvs_security_test
4，acunetix
5，acunetix_wvs
6，acunetix_test

可以http contains "wvs" 或者  http contains acunetix 过滤一下

由此就可以确定黑客使用的扫描器是awvs

2,应题目要求，我可以直接过滤地址 http contains “admin” 

由此发现登陆的尝试字段admin/login.php?rec=login

第二种方法：

一般是提交POST请求进行登录，而不是不安全的url，首先过滤出 http.request.method==POST

这个时候已经能够看到登录页面的路径，为了进一步确认追踪一下tcp流，登录成功的标志有一个就是会302重定向

由以上两种方法确定登录页面的路径是/admin/login.php

3，已经知道黑客的ip是192.168.94.59，知道地址rec=login，就可以直接这样过滤

http.request.method==POST && http contains "rec=login" && ip.src==192.168.94.59

按照渗透的一般思路，攻击者在拿到大量的密码之后再对网站进行大量的爆破，那么前面大部分的流量包是登录失败的；而当黑客登录爆破成功了，就不会再进行登录爆破，而是进入网站提权或者下一步信息收集。所以一般过滤出来的最后一条是登录成功的流量，由此得到黑客的登录密码 admin!@#pass123                                                                                                                                                                  

4，存在上传文件，特征：POST提交请求，源地址还有协议http，所以过滤：                                                                           http.request.method==POST &&ip.src==192.168.94.59                                                                                                                   一般是在登录成功了之后再上传一句话木马获得webshell，所以需要查看最后面登录成功后的流量

/images/article/a.php下面存放的是PHP文件，初步怀疑是上传的一句话木马，追踪一下tcp流量

使用了一个危险的函数@eval，这就是一句话木马，将base64加密部分进行解密

很容易知道就是一句话木马，再过滤一下tcp contains "<?php @eval"追踪流得到内容了，

5，直接过滤出包含了robots.txt文件的流量包 http contains "robots.txt

再追踪其tcp流量就能得到，flag:87b7cb79481f317bde90c116cf36084b

6，思路其实就很明确了(数据库密码就涉及到三个关键字，分别是​​mysql，database，password)，要找密码就代表数据库已经登录成功，那么http的响应码一定是200，并且一般会包含database  ，过滤查看响应码为200的数据包，即可找到数据库密码

http.response.code == 200 && http contains  "database"

过滤出来了一条，直接追踪其tcp流

得到数据库的密码：e667jUPvJjXHvEUv

 

7，打开webtwo.pcap，这道题也是思路清楚的，直接过滤关键字hash_code，因为上一个题我们已经知道数据库IP了

ip.src == 10.3.3.101 && tcp contains "hash code"

追踪其tcp流，得到hash_code，d1c029893df40cb0f47bcf8f1c3c17ac

8，直接过滤出存在账户字符串的流量

tcp contains "[email protected]"

追踪其tcp流，攻击者使用sql注入爆出了邮件账户加密的密码，b78f5aa6e1606f07def6e839121a22ec

经过MD5解密得到密码：edc123@#

9，再打开webone，找网卡，无非就那几个eth0，eth1，ens33 lo ，直接进行关键字搜索                                                                          tcp contains "eth0"

再追踪它的tcp流

外网ip是192.168.32.189，而内网ip是10.3.3.100

10，使用到环境是mailtwo.pcap和mailtwo1.pcap。开始利用POST和mail过滤

http.request.method ==POST && http contains "mail"

这是黑客在进行大量的大量爆破，查看黑客密码的加密方式

看特征像base64但并不是，应该是AES加密，需要找到加密的密钥和偏移量。所以还是得重新过滤在服务器返回的信息中去查找，就先只过滤一下http，找一个状态码为200的追踪下TCP流                                                                                                                                    在mailtwo.pcap中过滤http，第三条数据的Cookie中发现了 login_name=wenwenni字段，并且是action=logout

继续向下读取数据，发现下一个mail系统的数据是28号，然后又到了登陆界面的35号数据，在其中发现了密码的加密函数：

取出来发现是AES的CBC加密，填充格式为ZeroPadding，密钥为字符串1234567812345678的hash值，偏移量为1234567812345678  在下一次的42号数据请求中，发现登录用户依然为wenwenni，因为这个用户刚刚推出，所以猜测是使用cookie登录的

查看一下返回数据44号中出现{"success":true}，代表登陆成功。

既然这样的话，我们使用以下语句过滤一下                                                                                                                                              (http contains "{success:true}" or http.request.method=="POST") and ip.addr==192.168.94.59

显示出post请求成功的返回结果，发现是在爆破，并且直到mailtwo.pcap的最后也未爆破成功。于是打开mailtwo1.pcap，用相同的过滤条件试试，发现几条数据，从后往前看，发现No.18152是登陆成功的返回结果，那对应的No.17126则就是正确的加密后的密码。

+ZgE14UGcFcyRGLI0/ZXPQ==解密得到：admin!@#PASS123

密码：d959caadac9b13dcb3e609440135cf54；偏移量：1234567812345678

11，PPTP原理

PPTP客户机使用动态分配的TCP端口号，与PPTP服务器使用的保留TCP端口号123建立控制连接

（PPTP控制连接携带PPTP呼叫控制盒管理信息，用于维护PPTP隧道）。

客户端与服务器通过控制连接来创建、维护、终止一条隧道。

PPP帧的有效载荷经过加密、压缩或是两者的混合处理。

使用通用路由封装GRE对PPP帧进行封装。

将PPP帧封装进IP数据报文中。通过IP网络如Internet或其他企业准用INTRANET灯发送给PPTP服务器。

服务器接收到PPTP数据包后进行常规处理。

打开vpnone.pcap，发现只是在尝试登陆VPN，再来查看下vpntwo.pcap

查看下vpntwo.pcap在统计IPV4中发现

10.3.4.96,10.3.4.55 ,10.3.4.3出现的次数最多先过滤一下SMB

所以​​10.3.4.96​​是SMB服务器，排除，再来过滤下​​10.3.4.55

​​10.3.4.3​​先PING​​10.3.4.55​​                                                                                                                                                                       总的来说：第一个包在尝试登陆vpn，第二个包登陆上了vpn，然后第二个包 从 统计->对话 发现10.3.4.3和10.3.4.96发出的包比较多，而且过滤一下smb发现10.3.4.96是smb服务器，筛选10.3.4.55（另一个流量大点的地址）发现是10.3.4.3先ping它的，基本可以确定10.3.4.3就是黑客的vpn IP