流量分析部分
1.分析网络流量包,请问目录遍历攻击开始时间是什么时候?(答案格式:1990-01-01 01:01:01) (1.0分)
注意时间要加上时区:2024-10-24 17:26:12
2. [单选题] 分析网络流量包,可以发现哪种攻击行为?(1.0分)
A: 网络钓鱼 B: SQL注入 C: 拒绝服务攻击 D: 恶意软件传播 E: 中间人攻击
后面很多都是sql注入的
3.分析网络流量包,黑客获取到的数据库名称是?(答案格式:小写) (3.0分)
流量挨个看用xwf筛选出来有,然后根据文件名一个一个看,因为当注入正确的时候,会显示your uid:6,根据这个筛选出来看文件名,然后按照文件名中的url依次看一下,就能找到爆破的数据库名secret
将注入成功的导出来
secret
4.分析网络流量包,黑客通过时间盲注获取到的数据是什么?(答案格式:与实际大小写保持一致) (6.0分)
这个地方一共有三段注入,解决方法也是查看注入成功的文件有没有什么特征,找到特征后用Xways一搜索筛选就可以了
先用xways将注入成功的文件全部筛选出来
选择完全部导出
导出的文件全部都是注入成功的,然后按照顺序写个脚本,提取文件名再编码就能得到答案了
注入的内容分别是:
表名:secret,value
字段名:httpinfo,member,message,secret,users,xssblind
以及字段名secret里面的内容
sql盲注主要看后面那一段,这里推测是因为当sleep3秒符合要求,然后延迟返回,但是服务器的设置可能有时间延迟的设置,导致没有返回的流量包,根据这个特点,将下面的ASCII码筛选出来,得到:
84、104、33、115、95、49、115、95、53、101、99、114、101、116、33以第一个字符分析为例:
从1536开始是第一组注入流量,发现第一个字符ASCII>79时为真,延迟3秒没有返回包
第二组流量中,第一个字符ASCII>103时为假,有返回包,没有延迟,此时判断ASCII范围在79-103之间
第三组缩小范围到79-91
第四组缩小到79-85
第五组没有返回,条件成立,范围缩小至82-85
第六组有返回,范围缩小至82-84
第七组没有返回,范围缩小至83-84
第八组来到第二个字符,说明一个字符的条件是大于83为真,大于84为假,所以得出第一个字符ASCII码是84
后面按照规律依次分析,最终能够得到84、104、33、115、95、49、115、95、53、101、99、114、101、116、33
解码得到:
Th!s_1s_5ecret!
5.分析网络流量包,黑客使用什么webshell管理工具控制服务器?(答案格式:请写中文名,无需填写版本号) (3.0分)
知识点补充:
冰蝎1:
第一阶段:密钥协商
1)攻击者通过 GET 或者 POST 方法,形如 http://xx.xxx.xx.xx/shell.aspx?pass=645 的请求服务器密钥;
2)服务器使用随机数 MD5 的高16位作为密钥,存储到会话的 $_SESSION 变量中,并返回密钥给攻击者。
第二阶段-加密传输
1)客户端把待执行命令作为输入,利用 AES 算法或 XOR 运算进行加密,并发送至服务端;
2)服务端接受密文后进行 AES 或 XOR 运算解密,执行相应的命令;
3)执行结果通过AES加密后返回给攻击者。
第一次连接后换了一个密码,所以下面的是后面使用的key
后面流量特征很冰蝎,将密钥和iv都明文传输了一遍,然后使用CyberChef解码即可
冰蝎
6.分析网络流量包,黑客通过后门执行的最后一条命令是什么?(答案格式:与实际大小写保持一致) (5.0分)
直接看最后一条加密流量得到:
type login.php
