2020年8月12日
135
学习笔记

世界技能大赛样题WriteUp——安全事件响应

几天后第四十六届世赛的省选拔赛就要开幕了，赛方发了安全事件响应的样题，其实就是一道流量分析题。做了一下，记录下做题过程。文末附流量包文件。

0x00 初步分析

我把流量包重命名为practice.pcapng，扔到Kali下，使用Wireshark打开，有6k多个包。打开Statistics工具栏分析一下协议层次结构和会话。

主要有TCP包、SMB包、HTTP包和仅有一个的MySQL包。其实这是一条记录了完整攻击过程的数据包链。

再来看看题目：

服务器使用的cms是？版本是？
MySQL root用户密码是？
功击者写入的第一个文件文件名为？
禁用了那些函数？
Web攻击失败后利用了什么漏洞？
执行的第一条命令是什么？
计算机名是什么？
获取的flag是多少？
下载的文件中的flag是什么？

9个题目一共是120分。

0x01 服务器使用的cms以及版本

直接过滤HTTP协议，发现两种URL，一种是PhpMyAdmin的，一种是WordPress的。

识别WordPress版本，我通常会看页面中引用的css、js文件版本号。

拼接得flag：

flag{wordpress 5.2.1}

0x02 MySQL root用户密码

首先去看看MySQL包

MySQL不允许外连，那么获取密码可能是通过PhpMyAdmin了，因为PhpMyAdmin的账户密码就是MySQL的账户密码。那么去看看PhpMyAdmin相关的包，输入过滤条件：

# 从HTTP请求的URI中过滤字符串
http.request.uri contains "phpmyadmin"

可以看到攻击者对root进行了一波暴力破解，大量密码POST到/phpmyadmin/index.php。那么如何从这么多的密码中找到正确的密码呢？

很简单，我列举两种方法。
第一种：找到最后POST的包，最后的登录必定是成功的。
第二种：登录成功后，服务端会发送Set-Cookie头设置会话ID之类。

这个版本的PhpMyAdmin登录成功后会在Cookie中设置pmaPass字段（我自己对比数据包分析出来的）。但是不论登录是否成功都会设置一个pmaPass，所以直接过滤并不好找。那么先找到正确的Cookie，再去找对应的Set-Cookie头，就容易多了。

直接从后面拿一个正确的Cookie：

从HTTP响应头中过滤Cookie：

http.response.line contains "Lk8rQWafVxwp%2FcDlzSAacQ%3D%3D"

OK，精准匹配到一个包，接着去追踪HTTP流：

URL解码，得到密码：admin@12345

flag{admin@12345}

0x03 攻击者写入的第一个文件文件名

这个其实在我之前分析PhpMyAdmin流量的时候已经看到了，攻击者使用了MySQL的日志功能写了一个phpinfo。

flag{06b8dcf11e2f7adf7ea2999d235b8d84}

0x04 禁用了哪些函数

刚开始没看懂题目，不知道说的什么函数。后来一想，估计是php.ini中配置的disable_function。

直接过滤：

http contains "disable_function"

又是精准匹配，接着追踪HTTP流，Ctrl-F。

处理一下，得到flag：

flag{system,passthru,exec,shell_exec,popen,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl}

0x05 Web攻击失败后利用了什么漏洞

这个题目又看懵逼了，这都拿到shell了怎么就攻击失败了，不能执行命令、不能提权就失败了吗？

HTTP的流量我就没看了，直接去看其他协议去了。其中有大量TCP异常流量：

我猜测攻击者正在进行端口扫描之类的操作，接着发现了SMB流量。

有趣，我直接盲猜用了永恒之蓝。后面的分析证实我猜对了，我在TCP流量中发现了明文的命令执行数据。而且找到了缓冲区溢出的痕迹：

flag{cve-2017-0143}

0x06 执行的第一条命令是什么

永恒之蓝攻击成功后会直接得到SYSTEM权限，工作目录是C:\Windows\System32。但是过滤System32找不到包，过滤system32找到了（后面发现直接过滤C:更方便）。

tcp contains "system32"

其中淡绿色部分是HTTP的包，phpinfo中包含的system32。下面的TCP包分为两个流。因为要找第一条执行的命令，按照顺序追踪第一条流：

可以看到这个憨憨执行了dir命令。。。

flag{dir}

0x07 计算机名是什么

我首先在SMB流量中找到了一处，但是发现攻击者执行了systeminfo命令，直接能看计算机名。

flag{WIN-H1D59GQEH0T}

0x08 获取的flag是多少

越到后越看不懂题目，什么flag，在哪？这题我昨天没做出来，今天才看到flag的。之前的命令执行数据包，分为两条TCP流，第二条流中发现了这个：

flag{3f76818f507fe7eb6422bd0703c64c88}

0x09 下载的文件中的flag是什么

在流量包的最后发现了这样几个HTTP请求：

追踪流，在PNG的数据中发现了隐藏的txt文件：

flag{d31c1d06331a95346f41ab93afca8d31}

不怎么打CTF，也没怎么做过流量分析题，本来以为会很难，最后还是拿到了所有flag。这个题目很有意思，同时也熟悉了WireShark的使用，填补了只是空白。比赛加油！

流量包文件下载

Tags: CTF 流量分析

You may also like...

135 Responses

Comments134
Pingbacks1

K说道：

2021年4月13日下午5:30

加个好友被老哥

回复
浏览此网友的网站说道：

2022年6月1日上午10:59

바카라 양방 우리카지노 양방 카지노사이트게임

回复
sucking clit vibrator说道：

2022年6月2日上午6:45

Thank you ever so for you article post.Thanks Again.

回复
InstGrow说道：

2022年6月2日上午9:22

I will right away grab your rss as I can’t find your e-mail subscription link or newsletter service. Do you’ve any? Kindly let me know in order that I could subscribe. Thanks.

回复
pet portable water bottle说道：

2022年6月2日下午8:02

Regards for helping out, superb info.

回复
ufa789bet说道：

2022年6月3日下午11:00

Very neat post.

回复
yorkville condos for sale说道：

2022年6月4日下午4:41

wow, awesome blog.Much thanks again. Fantastic.

回复
refinance home mortgage explained说道：

2022年6月11日上午12:51

Wow, great article post.Much thanks again. Great.

回复
techyseva说道：

2022年6月11日下午5:50

Say, you got a nice post.Much thanks again. Really Great.

回复
URL说道：

2022年6月20日上午2:31

Wow, great article post.Really thank you! Awesome.

回复
最会淘说道：

2022年6月25日下午11:41

疫情还在影响生活！唉！

回复
bandar judi bola 7 meter说道：

2022年6月29日下午8:37

Appreciate you sharing, great blog article. Keep writing.

回复
situs bola resmi说道：

2022年7月1日上午5:37

Really informative post.Really looking forward to read more. Fantastic.

回复
give to charity说道：

2022年7月1日上午9:04

I really liked your blog post. Want more.

回复
bandar bola resmi说道：

2022年7月2日上午8:52

wow, awesome article.Really thank you! Fantastic.

回复
mp3juices说道：

2022年7月3日上午4:56

I really like and appreciate your blog post.Much thanks again. Fantastic.

回复
support veterans说道：

2022年7月4日上午6:11

Awesome blog.Really thank you! Much obliged.

回复
corporate office address说道：

2022年7月5日上午12:52

Great blog post.Really looking forward to read more. Really Cool.

回复
apkpure说道：

2022年7月6日上午8:36

Looking forward to reading more. Great article.Much thanks again.

回复
Industrial videos说道：

2022年7月6日上午9:18

Enjoyed every bit of your blog.Really thank you! Keep writing.

回复
Micropigmentation说道：

2022年7月6日下午6:17

I really liked your article.Really thank you! Much obliged.

回复
auto detailing in overland park说道：

2022年7月13日下午5:54

Great blog.Thanks Again. Fantastic.

回复
quentinmartain@yahoo.com说道：

2022年7月17日下午8:50

더존카지노 샌즈카지노 코인카지노 퍼스트카지노 카지노시스템베팅

回复
https://keder7beni.com说道：

2022年7月19日下午7:23

payday web site google fuck you

回复
arkadan seks说道：

2022年7月20日上午7:21

Card can be found and a bit more complicated than that. Adolfo Reckling

回复
hd lace frontal wig说道：

2022年7月21日上午1:50

Thank you ever so for you article post.Really thank you!

回复
mp3juices说道：

2022年8月2日上午3:31

Appreciate you sharing, great blog article.Much thanks again. Really Cool.

回复
gay porn说道：

2022年8月3日上午9:11

bookmarked!!, I like your site!

回复
europe best beaches说道：

2022年8月4日上午12:20

wow, awesome post.Really thank you! Really Great.

回复
https://www.ninestarreviews.com/说道：

2022年8月5日下午6:08

A big thank you for your post.Much thanks again. Really Cool.

回复
roland.somers3@sympatico.ca说道：

2022年8月7日上午4:42

Bunun son örneği Kanada’da görüldü. Kanada Menkul Kıymetler Yönetimi (CSA)

回复
sex说道：

2022年8月8日上午8:55

Looking forward to reading more. Great article post. Raul Walstad

回复
cooe app download说道：

2022年8月9日下午5:02

Say, you got a nice article. Much obliged.

回复
Kelvin Kaemingk说道：

2022年8月9日下午10:26

Very neat blog post.Really looking forward to read more.

回复
sickforprofit说道：

2022年8月20日下午10:30

I was able to find good information from your blog posts.

回复
سمعها说道：

2022年8月23日上午8:43

I couldn’t refrain from commenting. Perfectly written.

回复
construccion说道：

2022年8月26日上午9:24

Advanced reading here!

回复
informacion说道：

2022年9月3日上午1:41

Nice Post. It’s really a very good article. I noticed all your important points. Thanks.

回复
ufa说道：

2022年9月7日上午9:08

I can’t go into details, but I have to say its a good article!

回复
buy admin rdp说道：

2022年9月8日下午2:13

Very fine blog.

回复
สเต็ป2说道：

2022年9月12日下午12:58

Makes sense to me.

回复
fontaneria madrid说道：

2022年9月20日下午12:02

I want to see your book when it comes out.

回复
Voir Qu'est-ce qu'on a tous fait au Bon Dieu 3说道：

2022年9月22日下午6:35

You write Formidable articles, keep up good work.

回复
porn说道：

2022年9月29日下午3:39

Good information. Lucky me I found your website by accident (stumbleupon). I have book marked it for later.

回复
corsage 2022 full movie free说道：

2022年10月4日下午3:00

I imagine so. Very good stuff, I agree totally.

回复
VD Removals说道：

2022年10月5日下午2:57

I will immediately grab your rss as I can’t find your email subscription link or e-newsletter service. Do you have any? Kindly let me know in order that I could subscribe. Thanks.

回复
joker123-ดาวน์โหลด-joker888说道：

2022年10月6日下午5:31

Appreciate you sharing, great blog post.Really thank you! Great.

回复
click here说道：

2022年10月10日下午7:48

I will immediately seize your rss feed as I can at find your email subscription hyperlink or newsletter service. Do you have any? Please let me know so that I may just subscribe. Thanks.

回复
escortsbul.com说道：

2022年10月15日上午1:52

escort

回复
erkek severse bölüm izle说道：

2022年10月20日上午11:36

Erkek severse tüm bölümlerini izle

回复
메이저사이트说道：

2022年10月22日下午7:10

It’s time for communities to rally.

回复
her latest blog说道：

2022年10月24日上午1:24

Djtiva – college essay planner Xjlosz igufdc

回复
출장마사지说道：

2022年11月5日上午4:26

I love your blog. It looks every informative.

回复
Deyes Ln说道：

2022年11月7日上午9:19

bonjour I love Your Blog can not say I come here often but im liking what i c so far….

回复
video projector说道：

2022年11月8日上午3:05

Woh I enjoy your content , saved to bookmarks!

回复
dotorrent.xyz说道：

2022年11月8日上午3:47

I really like and appreciate your article post.Really looking forward to read more. Will read on…

回复
ebook reader说道：

2022年11月8日上午4:58

How do I subscribe to your blog? Thanks for your help.

回复
ankara escort说道：

2022年11月8日上午5:58

Bayanur.com Ankara Escort

回复
buying cvv说道：

2022年11月21日下午12:05

Howdy, a helpful article for sure. Thank you.

回复
cc dumps websites说道：

2022年11月24日下午9:55

Very fine blog.

回复
invest in indices说道：

2022年11月25日上午5:33

cattle ivermectin for humans ivermectin for snake mites

回复
Tubidy说道：

2022年11月27日上午3:20

Great information. Lucky me I recently found your blog by chance (stumbleupon). I have book marked it for later!

回复
Quentin Hope说道：

2022年12月7日上午2:34

stromectol sales – purchase ivermectin ivermectin ebay

回复
Jessie Barton说道：

2022年12月8日上午7:30

I will right away clutch your rss feed as I can’t find your e-mailsubscription hyperlink or newsletter service. Do you’ve any?Please let me realize in order that I may just subscribe.Thanks.

回复
Evropski univerzitet Brcko说道：

2022年12月10日下午2:16

Thanks a lot! I value it.how to write an opinion essay essay writing service need essay written

回复
sticky hooks说道：

2022年12月15日上午3:44

A round of applause for your post.Thanks Again.

回复
granjas cerdos barcelona说道：

2022年12月15日下午12:50

Advanced reading here!

回复
granjas cerdos barcelona说道：

2022年12月15日下午1:25

Regards for helping out, superb info.

回复
Printable Free Pulse Oximeter template说道：

2022年12月19日下午6:04

Sie können dieses Signal auf Ihre Trading-Bots auf 3Commas anwenden, das eingehende Signal bestimmt dieStartzeit des Handels für die ausgewählte Taktik und das ausgewählte Handelspaar.

回复
dinh cu canada说道：

2022年12月26日上午11:16

I really like your writing style, excellent info , thanks for putting up : D.

回复
jili slot说道：

2023年1月4日上午7:56

Appreciate you sharing, great blog.Thanks Again. Fantastic.

回复
150-f108nbdb说道：

2023年1月6日上午1:28

Fantastic post.Much thanks again. Want more.

回复
Jumper rentals说道：

2023年1月13日下午11:38

Thanks for sharing your thoughts about handlers.Regards

回复
waterproof diving bag说道：

2023年1月20日上午5:47

Wow, great article.Much thanks again. Cool.

回复
view说道：

2023年1月26日下午7:04

best ed pill erectile dysfunction – male dysfunction

回复
cheap wardrobes sydney说道：

2023年1月29日上午12:46

ivermectin dose calculator ivermectin mange

回复
ankara escort说道：

2023年2月2日上午12:01

ankara escort

回复
Benedict Cassidy说道：

2023年2月6日上午7:47

ตอนต้นผมว่าเว็บไซต์ไหนก็แบบเดียวกัน ด้วยเหตุว่าเข้าไปก็พบเกมเดิมๆแม้กระนั้นเอาเข้าจริงๆมันแตกต่างกันครับผม ยิ่งเว็บไซต์ไหนที่เวลาฝากถอนจะต้องผ่านบุคลากรอันนี้ผมชังสุดเลย เสียเวล่ำเวลา ส่วนตัวผมว่า เว็บพนัน ดีสุดเลยนะครับ เค้าใช้ระบบอัตโนมัติ

回复
Tattoo Designs or Tattoo Ideas说道：

2023年2月6日下午7:10

mens ed pills canadian pharmacy – online pharmacy australia free delivery

回复
Kelvin Kaemingk说道：

2023年2月6日下午9:28

Wow, great blog article.

回复
https://handels-strategien.de/说道：

2023年2月7日下午10:17

I will immediately clutch your rss as I can not to find your e-mail subscription link or e-newsletter service. Do you have any? Please permit me realize so that I may just subscribe. Thanks.

回复
garage floors columbus说道：

2023年2月8日下午7:54

Fantastic blog post.Really looking forward to read more. Keep writing.

回复
Bitcoin Trading说道：

2023年2月9日上午8:03

Ya tengo mi abono para el Festival Eñe, me gustaría saber que día y a qué hora va a estar Manuel Rivas. Gracias

回复
bing daily quizzes说道：

2023年2月12日上午4:38

canadian pharmacy 365 – vyvanse canadian pharmacy vyvanse canadian pharmacy

回复
PCB manufacturing说道：

2023年2月12日下午6:33

wow, awesome post.Much thanks again. Awesome.

回复
etimesgut escort说道：

2023年2月17日下午9:12

Etimesgut escort sitesi

回复
sincan escort说道：

2023年2月18日上午4:33

Sincan escort sitesi

回复
Kelvin Kaemingk Eagan MN说道：

2023年2月19日下午12:49

Muchos Gracias for your article.Much thanks again. Really Great.

回复
에볼루션카지노说道：

2023年2月19日下午10:06

I loved your blog article.Thanks Again. Cool.

回复
에볼루션카지노说道：

2023年2月20日上午7:54

Wow, great blog post.Much thanks again. Fantastic.

回复
에볼루션카지노说道：

2023年2月20日下午8:25

Wow, great blog post.Much thanks again. Will read on…

回复
Tractor manufacturer说道：

2023年2月23日上午2:53

I really liked your blog article.Really thank you! Want more.

回复
automation说道：

2023年2月24日下午1:13

petsmart ivermectin ivermectin horse wormer tractor supply

回复
for more info说道：

2023年2月27日下午8:56

You explained that wonderfully!custom order essays essay writer speech writing service

回复
FPC connectors说道：

2023年3月3日上午7:23

Thank you ever so for you blog article.Thanks Again. Much obliged.

回复
XGS-PON说道：

2023年3月3日下午10:49

Very neat blog article.Much thanks again. Awesome.

回复
Demi Pearce说道：

2023年3月3日下午11:51

You certainly know how to bring a problem to light and make

回复
best handheld bidet sprayer说道：

2023年3月8日上午12:30

Very good article post.Really looking forward to read more. Keep writing.

回复
Gigs Inc Alice TX说道：

2023年3月9日下午4:17

Very informative article post.Much thanks again. Really Cool.

回复
boiler repair 19014说道：

2023年3月12日下午7:24

Looking forward to reading more. Great blog post.Thanks Again. Awesome.

回复
mendes michael fb说道：

2023年3月14日上午11:50

Wow, great article post.Thanks Again. Great.

回复
auto connector说道：

2023年3月15日上午1:56

Thank you ever so for you post.Really looking forward to read more. Great.

回复
imtoken下载说道：

2023年3月15日下午5:54

Enjoyed every bit of your blog article.Thanks Again. Great.

回复
먹튀커뮤니티说道：

2023年3月16日上午6:59

A big thank you for your blog post.Really thank you! Cool.

回复
Hacklink panel说道：

2023年3月18日下午4:03

Good info. Lucky me I reach on your website by accident, I bookmarked it.

回复
self drive car rental in chennai说道：

2023年3月18日下午9:11

Enjoyed every bit of your blog post.Thanks Again. Cool.

回复
slot gacor说道：

2023年3月19日下午7:25

I really liked your post.Really thank you! Great.

回复
wedding dresses man kurta说道：

2023年3月20日上午4:08

Appreciate you sharing, great article. Cool.

回复
trip booking说道：

2023年3月22日上午7:01

Appreciate you sharing, great post.Much thanks again. Want more.

回复
Plastic Water Bottles说道：

2023年3月23日上午9:38

wow, awesome blog article.

回复
cnc aluminum part说道：

2023年3月23日下午7:34

Very informative blog post.Really looking forward to read more. Much obliged.

回复
remote ssh iot说道：

2023年6月24日下午7:08

Muchos Gracias for your blog article.Thanks Again. Really Cool.

回复
Rush说道：

2023年6月25日上午2:21

Thank you ever so for you blog.Much thanks again. Great.

回复
rolling diaphragm说道：

2023年7月11日上午3:43

Great blog.Really thank you! Fantastic.

回复
儿童色情片说道：

2023年7月13日上午12:20

Good info. Lucky me I reach on your website by accident, I bookmarked it. 現場兒童色情片儿童色情片

回复
儿童色情片说道：

2023年7月13日下午2:00

Good info. Lucky me I reach on your website by accident, I bookmarked it. 現場兒童色情片儿童色情片

回复
sql代写说道：

2023年7月17日上午8:04

Enjoyed every bit of your blog post.Really thank you! Cool.

回复
download wallpaper说道：

2023年7月19日下午8:08

Saved as a favorite, I love your site.

回复
site link说道：

2023年8月1日上午9:17

I used to be able to find good advice from your blog articles.

回复
mersin duvar kağıdı说道：

2023年8月2日下午1:37

mersin duvar kağıdı

回复
rockwool slabs说道：

2023年8月3日上午10:56

Very informative article.Thanks Again. Will read on…

回复
deneme bonusu veren siteler说道：

2023年8月6日上午6:48

Very nice article, totally what I was looking for.|

回复
web tasarım说道：

2023年8月11日上午12:28

Good info. Lucky me I reach on your website by accident, I bookmarked it. mfajans

回复
https://prestigeautodetailingkc.com说道：

2023年8月11日下午10:39

Enjoyed every bit of your article post.Really thank you! Will read on…

回复
fuel level sensor说道：

2023年8月13日上午10:43

Great blog article. Keep writing.

回复
Glazed Floor Tile说道：

2023年8月14日上午3:59

Appreciate you sharing, great blog post.Thanks Again.

回复
Ring Die Pellet Mill说道：

2023年8月14日下午8:34

Wow, great article. Fantastic.

回复
youtube-mp3-downloader npm说道：

2023年8月16日上午10:08

Appreciate you sharing, great blog article. Awesome.

回复
jump rope manufacturers说道：

2023年8月27日上午10:44

Looking forward to reading more. Great article.Really thank you! Cool.

回复
SSAW pipe说道：

2023年9月15日下午5:20

Very neat article post.Much thanks again. Cool.

回复
304 stainless steel sheet说道：

2023年9月15日下午6:12

Very informative blog article.Much thanks again. Fantastic.

回复
拿坡里足球分析说道：

2023年9月18日下午9:02

Appreciate you sharing, great blog article.Thanks Again.

回复
best app development companies说道：

2023年9月24日上午5:28

Very neat article.Thanks Again. Awesome.

回复
minoo-cn说道：

2023年9月24日下午11:39

Thank you for your blog article.Really thank you! Keep writing.

回复

3modifies

2022年6月20日

2toolbox

发表回复取消回复