关卡描述:1.oa服务器的内网ip是多少?
先进行ip统计,开始逐渐查看前面几个ip![](https://img-blog.csdnimg.cn/0ea0839f3cb94b4faeb5c52e72c591df.png)
基本上都是b/s,所以大概率是http,过滤一下ip
![](https://img-blog.csdnimg.cn/b097a37ace7b491ba39bba70feabc84a.png)
第一个ip好像和oa没啥关系
第二个ip一点开就是![](https://img-blog.csdnimg.cn/65f6e5dfc39544a6af1e0a988265f0bf.png)
oa,应该就是他了。
关卡描述:2.黑客的攻击ip是多少
ip.src==ip,这个过滤源ip的过滤语句
我们第一个怀疑黑客目标就是183.129.152.140
用ip.addr的过滤太乱了
过滤一下源ip是他的
![](https://img-blog.csdnimg.cn/e52e9809a8fb472a9b53403d028d3d60.png)
get 请求了很多东西,他这个是在她像是在扫扫描了,zip文件大概率就是在扫描文件下载的漏洞。然后就要开始一个一个去分析数据包,找到黑客的证据
![](https://img-blog.csdnimg.cn/66fd6631d2074ef28264ed008b97857a.png)
锁定黑客ip,往下滑还有他执行命令的数据包,也可以判断。
关卡描述:3.黑客使用了什么工具?(简称,大写)
AWVS
4.黑客给哪2个帐号发送了钓鱼邮件?(填写邮件名)
邮件协议SMTP、POP3、IMAP4
我们一个一个过滤看看‘
![](https://img-blog.csdnimg.cn/623d72c3a6e8419ab634d561183beae8.png)
第一个就有
所以是,it@t3sec.cc,lixiaofei@t3sec.cc
关卡描述:5.黑客使用了哪个邮箱给员工发送了钓鱼邮件?
上一题就有
xsser@live.cn
关卡描述:6.黑客对哪个参数进行了注入并且成功了?
过滤黑客ip查看数据包,然后找一下看看
![](https://img-blog.csdnimg.cn/55271564956a47219c318503b7b44bdc.png)
select语句,目标ip是172.16.61.199,在过滤ip
这里要用到url中关键字搜索http.request.uri contains
搜索关键字等于号,因为sql注入在urlget请求头中存在的可能性更大
第三个流量包什么也没有
在来到第四个流量包
![](https://img-blog.csdnimg.cn/0171f5a123ac415289d06bc36890b503.png)
关键字union,select。
解码一下,第一个是对name=aa进行的注入
过滤一下这个参数看看![](https://img-blog.csdnimg.cn/251e98267d3442cdb09c8a9c98fce321.png)
注入成功。
关卡描述:7.oa账号密码的加密方式是什么?(大写)
第四个包啥都没找到继续
直到第十个包还要name注入的,tcp流查看
22009
![](https://img-blog.csdnimg.cn/d3c97c4834d74d51b16048dd1781f94c.png)
可以判断出来是md5加密
关卡描述:8.webshell的权限是什么?
webshelii,要过滤whoami,
第十个数据包![](https://img-blog.csdnimg.cn/f42a824a65b14de6a25bf8efc501a6da.png)
只有这一条追踪tcp流看
![](https://img-blog.csdnimg.cn/d24dca03b058462c8ce98bcfe89f881a.png)
是在apache这里执行的权限,所以是这个
关卡描述:9.内网数据库ip地址多少?
这个要看主机ip的全流量,不管协议
ip.addr==172.16.61.199
![](https://img-blog.csdnimg.cn/e08fb12de3ae41ac86ff857f6fdc372c.png)
这四个最可能是内网的ip,
先看一下172.16.60.195
![](https://img-blog.csdnimg.cn/bcf1f05d45574dcbb7d5a3892c474746.png)
mysql,数据库,就是他了
10.内网oa数据库的用户名是什么?
继续分析上一个流量包,慢慢看
![](https://img-blog.csdnimg.cn/4583c6043e57449bb20fc1350ae30404.png)
找到了root
关卡描述:11黑客使用了哪个页面的漏洞获取了webshell(填写文件名即可)?
怀疑是文件上传的post格式过滤黑客ip![](https://img-blog.csdnimg.cn/4a15c3bebb4b4be4838fd8a0c9b42382.png)
这个提交了不正确,依据他进行过滤
20160809092842.php
第十个一直都在执行这个命令,不对,在之前的流量包,
第九个流量包
![](https://img-blog.csdnimg.cn/82bb5abfeb924c46b9fd01208edac27d.png)
追踪tcp流看看
![](https://img-blog.csdnimg.cn/d20d6f534b8c4602b34ca05aef2b516d.png)
叫什么名字,上传的啥全显示出来了
关卡描述:12.webshell第2行代码是什么?
上一题图里面有
/* angel 2013*/
关卡描述:13.webshell的密码是多少(明文)?
上一题两个密码都用burp解不出来,应该都不是,继续看数据包,这个数据包没有证明在后面的数据包,继续找。还是过滤数字的php文件,
![](https://img-blog.csdnimg.cn/aeb1cb38d8154fb7902f826aad99e779.png)
第一个数据包点开就是angel