經(jīng)過(guò)兩周左右時(shí)間的眾測(cè)，今天將項(xiàng)目學(xué)習(xí)的進(jìn)度推進(jìn)一下吁伺。

一饮睬、模擬場(chǎng)景背景：

某公司內(nèi)網(wǎng)被某組織進(jìn)行了攻擊，簡(jiǎn)單了解篮奄，該組織首先攻擊了一臺(tái)web服務(wù)器捆愁，破解了后臺(tái)的賬戶(hù)的密碼，隨之利用獲取到的口令登陸了該公司的mail系統(tǒng)窟却，接著獲取到了vpn的申請(qǐng)方式昼丑，然后登陸vpn，在內(nèi)網(wǎng)pwn掉了一臺(tái)打印機(jī)夸赫，該公司提供了一份時(shí)間周期的流量包供參考菩帝，要求對(duì)該組織的攻擊行為循跡溯源，并進(jìn)行相應(yīng)的分析茬腿。

二呼奢、利用工具以及前置知識(shí)：

1、利用工具：Wireshark

Wireshark是一個(gè)網(wǎng)絡(luò)封包分析軟件切平，它的前身也就是Ethereal握础。網(wǎng)絡(luò)封包分析軟件的功能是截取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的玩過(guò)封包的資料揭绑。Wireshark使用WinPCAP作為接口弓候，直接與網(wǎng)卡進(jìn)行數(shù)據(jù)報(bào)文交換郎哭。
類(lèi)似的工具還有很多他匪，因?yàn)橹敖佑|并且用過(guò)wireshark，所以沿用該工具夸研。

Wireshark基本使用：

主界面如下：選擇網(wǎng)卡進(jìn)行捕獲

image.png

下面是選擇無(wú)線(xiàn)網(wǎng)卡進(jìn)行流量捕獲的界面：

image.png

下面這行常用按鈕從左至右分別為：
開(kāi)始新的抓包壤靶、停止抓包缚俏、重新開(kāi)始抓包、抓包設(shè)置贮乳、打開(kāi)已有的數(shù)據(jù)包文件忧换、保存文件、關(guān)閉文件向拆、重新加載文件亚茬、查找分組、轉(zhuǎn)到前一分組浓恳、轉(zhuǎn)到后一分組刹缝、轉(zhuǎn)到特定的分組、轉(zhuǎn)到首個(gè)分組颈将、轉(zhuǎn)到最新分組赞草、開(kāi)始抓包時(shí)自動(dòng)轉(zhuǎn)到最新分組、根據(jù)著色規(guī)則進(jìn)行分組等等吆鹤。

image.png

過(guò)濾規(guī)則的基本使用：

1厨疙、過(guò)濾ip，例如源ip和目標(biāo)ip：

ip.src eq xxx.xxx.xxx.xxx or ip.dst==xxx.xxx.xxx.xxx 或者 ip.addr eq xxx.xxx.xxx.xxx

image.png

2疑务、過(guò)濾端口：

tcp.port == 80 or udp.port == 80 源端口或目的端口為80
tcp.dstport == 80 只顯示tcp協(xié)議的目標(biāo)端口為80
tcp.srcport == 80 只顯示tcp協(xié)議的源端口為80
tcp.port >=1 and tcp.port <=80

image.png

3沾凄、過(guò)濾協(xié)議：

tcp/udp/arp/icmp/http/ftp/dns/ip（不在同一層的協(xié)議匯總一起說(shuō)的）

4、過(guò)濾MAC地址：

eth.src == xx:xx:xx:xx:xx:xx
eth.dst == xx:xx:xx:xx:xx:xx
eth.addr == xx:xx:xx:xx:xx:xx

5知允、過(guò)濾包長(zhǎng)度：

udp.length == 26 這個(gè)長(zhǎng)度是指udp本身固定長(zhǎng)度8加上udp下面那塊數(shù)據(jù)包之和撒蟀。
tcp.len >=7 指的是ip數(shù)據(jù)包（tcp下面那塊數(shù)據(jù)），不包括 tcp本身
ip.len == 94 除了以太網(wǎng)頭固定長(zhǎng)度14温鸽，其他都算是ip.len,即從ip本身到最后
frame.len == 119 整個(gè)數(shù)據(jù)包的長(zhǎng)度保屯，從eth開(kāi)始到最后。

6涤垫、過(guò)濾HTTP

HTTP
HTTP.request.method == "GET"
HTTP.request.method =="POST"
HTTP.request.uri == "/img/logo-edu.gif"
HTTP contains "WVS"————比較常用

image.png

7姑尺、數(shù)據(jù)流跟蹤：
在關(guān)注的http數(shù)據(jù)包或者tcp數(shù)據(jù)包中選擇追蹤流：

image.png

在彈出的框中可以看到數(shù)據(jù)內(nèi)容：

image.png

8什黑、數(shù)據(jù)提取

文件->導(dǎo)出對(duì)象->HTTP->save

三、實(shí)驗(yàn)過(guò)程：

一些常見(jiàn)掃描器的指紋：(web漏掃方面)

1堪夭、awvs：acunetix
2兑凿、netsparker：netsparker
3、appscan：Appscan
4茵瘾、nessus：nessus
5礼华、sqlmap：sqlmap

一些常見(jiàn)的后臺(tái)地址：

1、admin
2拗秘、manager
3圣絮、login
4、system

還有容易忽略掉的robots.txt雕旨。

1扮匠、導(dǎo)入受害公司所提供的流量包文件
2、找到該組織所使用的掃描器：

http contains "wvs"

image.png

發(fā)現(xiàn)是用的awvs掃描器凡涩。
3棒搜、找到他們的切入點(diǎn)登陸后臺(tái)：

http contains "admin" 
http contains "login" 

image.png

發(fā)現(xiàn)存在/admin/login.php?rec=login的登陸站點(diǎn)。
4活箕、找到他們用的什么弱口令登陸的：

http contains "password" && http.request.method=="POST"

image.png

從返回的字段長(zhǎng)度可以推測(cè)力麸，75x的兩個(gè)數(shù)據(jù)包存在問(wèn)題，可能是登陸成功育韩。
查看數(shù)據(jù)包內(nèi)容：

image.png

可知 用戶(hù)名：admin克蚂，密碼：admin!@#pass123 被成功猜解。
5筋讨、查看通過(guò)哪個(gè)接口上傳的小馬以及文件名：

http.contains "eval" && http.request.method =="POST"

這里其實(shí)是存在運(yùn)氣因素的埃叭，因?yàn)閯偛旁谡液笈_(tái)的時(shí)候就已經(jīng)確定了后臺(tái)語(yǔ)言是php，所以只要找eval函數(shù)就可以悉罕，但也不能排除利用其他繞過(guò)形式的小馬赤屋。

image.png

image.png

由上圖可知，小馬文件文a.php壁袄，上傳接口是/images/article类早。
6、找到被利用的數(shù)據(jù)庫(kù)用戶(hù)及密碼：

http contains "dbhost"

image.png

image.png

找到數(shù)據(jù)服務(wù)器的地址
修改過(guò)濾規(guī)則：

http contains "10.3.3.101"

image.png

右鍵追蹤TCP流：

image.png

將action中post的內(nèi)容顯然是base64加密然想，解密即可：

image.png

image.png

不過(guò)這個(gè)方法不太正經(jīng)变泄。
7令哟、找到被利用mail系統(tǒng)賬號(hào)：

ip.addr==“192.168.94.59” && http.request.method="POST"
地址是上面的web線(xiàn)索里找到的

image.png

image.png

這串并不是標(biāo)準(zhǔn)的base64，解密之后還是亂碼：

image.png

然后因?yàn)橛脩?hù)名是admin妨蛹，所以密碼猜測(cè)還是上面的密碼屏富。
最后答案竟然是：AES的CBC加密，填充格式為ZeroPadding蛙卤，密鑰為字符串1234567812345678的hash值狠半，偏移量為1234567812345678

8、找到該組織獲得的vpn.ip是多少
打開(kāi)vpntwo.pcap颤难，根據(jù)流量大小判斷神年，下面是一個(gè)大佬的解答：

image.png

到此結(jié)束

四、參考：

1行嗤、安恒網(wǎng)絡(luò)空間安全學(xué)院
2已日、公眾號(hào)：lemon-sec（特別感謝公眾號(hào)支持給我的資料，受益很多Ｕて痢）
3飘千、http://www.manongjc.com/detail/15-iaciotevjmwuuws.html