Close

[安恒月赛] 从一次流量包题学习wireshark数据包分析

这次安恒杯月赛意外地拿到了第三很开心
而且这是我第一次做数据包分析的题目,还拿了一血很开心
(大概是厉害的师傅们都去巅峰极客了)

大体分析

首先看题目题目说是一个黑客入侵了一个人的博客
然后改了管理员的==密码==并且留了一个==后门==

估计是有改密码的地方吧,有个写shell的地方
我就过滤了所有的数据包只留下了http

分析

打开统计 -> HTTP -> 请求
可以显示出所有的对服务器的请求
然后大体看一遍
-w925
* wp-login.php 访问了 4019次 估计是在爆破账号密码吧
* 对wordpress不熟所以对下面的都不是很熟
* 一开始一直在想pma是什么,hammer跟我说是phpmyadmin
* /pma/index.php应该是在登录phpmyadmin
* /wp/index.php/2018/06/14/wordpress 应该是一篇文章
往下翻
-w911
最关键的一句,从这句可以看出他是在这里更改了管理员的密码为toor,但是不知道是登录了phpmyadmin改的,还是怎么改的(先留着)

进入数据包

  1. 将wireshark上面的过滤器设置过http,就只有http请求了
    看一下的话会发现都是172.17.0.3172.17.0.1发起请求,所以172.17.0.1应该是黑客172.17.0.3应该是服务器
    -w959
  2. 首先先从最上面开始看看出来黑客在爆破目录
    -w966
    请求了一些路径然后返回了404
  3. 往下翻
    -w1280
    这个是在爆破账号密码
  4. 在流量包中找到之前那句话
    sql.php?db=mysql&table=user&sql_query=SET password = PASSWORD('toor')
    -w1280
    出现了192.168.1.104这个应该是管理员的ip了,可是管理员为啥会自己更改自己的密码,不应该是黑客改的嘛
  5. 之后黑客居然用root toor登陆进去了看样子那个让管理员改了自己的密码是关键的一个地方,先不管
    -w1279
  6. 在这可以看到黑客成功的写完了shell并且执行了,那他那个shell是啥时候写的往上翻
    -w1280
  7. 就是这他在/wp/wp-content/themes/twentyseventeen/index.php? 写了一个密码为1的shell(要我就掏出菜刀了)
    -w1280
    有趣的是黑客之前也写过一次但是访问的是wp/index.php
    不怎么了解wordpress,所以我也不知道这个写在啥地方
  8. 之后又写了一个incs的shell在上上幅图片中可以看见
    有趣的是那个黑客写了一个shell之后还把他删掉了
    -w809
    我猜应该是那个路径下的文件不能执行
    -w1063
    在这里可以看到shell成功执行
  9. 做这些的前提是拿到了admin的账号密码登录进wp-admin,所以那个改密码应该是最重要的地方,往上分析
    -w1279
    在上面一点点的地方发现黑客也这样请求了一遍,并且尝试用root toor登陆
    -w1280
    但是失败了
    -w1280
    还是弹出了登陆界面=。=
  10. 在往上翻
    -w1279
    差了很久时间的这个地方,可以看到黑客在/wp/index.php/2018/06/14/wordpress
    -w1280
    留下了自己的评论
    http://cda9350c6bf1df7a4905128f1771a007.vsplate.me/我猜在这里内嵌了一个
    sql.php?db=mysql&table=user&sql_query=SET password = PASSWORD('toor')
    进行csrf

总结

这样下来就差不多懂了黑客在干嘛了,他首先先是扫了一下博客的路径,然后在爆破了一下账号密码,没成功,之后再一篇文章中写了一个网址,里面有sql.php?db=mysql&table=user&sql_query=SET password = PASSWORD('toor'),引诱管理员去访问,访问了之后就更改了管理员的密码,然后在登录,利用了admin-ajax.php/wp/wp-content/themes/twentyseventeen/写了一个shell,然后利用这个shell再写了一个shell,不懂为啥写两次=。=

解题

我用了笨办法来看phpmyadmin的版本
-w1280
-w493
看到了phpmyadmin的版本号,上网搜索phpmyadmin 4.7.6 CSRF就有了
https://blog.vulnspy.com/2018/06/12/phpMyAdmin-4-7-x-XSRF-CSRF-vulnerability-PMASA-2017-9-exploit/
在这里找到了CVE号CVE-2017-1000499和CWE号CWE-352(CSRF)
https://www.phpmyadmin.net/security/PMASA-2017-9/
写payload:

import requests
from hashlib import *
import re

x = 'CVE-2017-1000499_CWE-352_2018-06-15 09:40:12'.lower()
print md5(x).hexdigest()

就行了

文件地址

希望大家也可以自己去分析一下,留个地址
网盘链接:https://pan.baidu.com/s/13EOdTgqEbe-DE5aJKYo2Jw 密码:l2vd

Leave a Reply

Your email address will not be published. Required fields are marked *