流量分析[作业]

流量分析

🎈

吐槽:这两题…是一题吧

场景:黑客通过钓鱼邮件得到企业统一认证账号;暴力破解企业web认证账户,并找到符合执行目标权限的用户

  • 黑客的攻击ip是多少,被攻击的内网IP是多少? 数据采集D_eth0_NS_20160804_110958.pcap
  • 哪些帐号被黑客窃取了(填写帐号名) 数据采集D_eth0_NS_20160804_110958.pcap,数据采集D_eth0_NS_20160804_110123.pcap
  • 黑客的服务器ip是多少 数据采集D_eth0_NS_20160804_110958.pcap
  • 黑客使用了什么工具? 数据采集D_eth0_NS_20160804_112232.pcap
  • 黑客给哪2个帐号发送了钓鱼邮件? 数据采集D_eth0_NS_20160804_110123.pcap
  • 黑客伪造的邮件标题和内容是什么? 数据采集D_eth0_NS_20160804_110123.pcap
  • 黑客使用了哪个邮箱给员工发送了钓鱼邮件? 数据采集D_eth0_NS_20160804_110123.pcap
  • 哪两个员工点开了黑客的email链接(填写员工email地址) 数据采集D_eth0_NS_20160804_110958.pcap
  • 请指出黑客使用的扫描器指纹是什么?(简称) 数据采集D_eth0_NS_20160804_110958.pcap

0x01 数据采集D_eth0_NS_20160804_110958.pcap

数据采集D_eth0_NS_20160804_110958.pcap

统计会话-> IPV4 ,按包数量进行降序排序

image-20201208175101255

可以大致得到整个包中的对话信息

同时,根据后面的分析

image-20201208182806824

将 TCP 导出为表

image-20201208185051632

统计-> HTTP -> 请求

image-20201208014718428

可以得到的信息如下:

请求网址收集得到的信息
oa.t3sec.cc:8082/admin.php?ac=log&fileurl=member&type=4&page=1&name=a 可能存在sql 注入
crm.t3sec.cc:8083/solr/admin 就存在一条请求
crm.t3sec.cc:8081www.acunetix.wvs:443 等等 awvs 扫描器特征
crm.t3sec.cc:8081之后 由一堆 awvs对网站的扫描(目录和注入)
172.16.61.206
172.16.61.200:8888正常 页面请求,如 /b__k___l___.mp4
172.16.61.199/login.php?do=logout
172.16.61.199/inc/tmenu.php?table=menu&name=menuname&menuid=92
172.16.61.199/admin.php?ac=humancontract&fileurl=human&menuid=80
172.16.60.200:8090/webmail/login9.php
172.16.60.200:8090/webmail/core/core.dll/cmd=18&fid=1&id=22&type=html&session=ANASG6Q8STzhanghongfei@t3sec.cc&name=view.html
118.194.196.232:8090/webmail/core/core.dll/cmd=18&fid=1&id=11&type=html&session=5LZ1QB1DGUit@t3sec.cc&name=view.html
118.194.196.232:8090/webmail/login9.php

此外,也可以很清晰的观察到vulnweb.comacunetix等特征,可以判断使用了awvs进行扫描

image-20201208180557838

同时 http contains acunetix,得知 攻击者 IP 为 111.206.82.164

image-20201208183851954

在利用上面得到的表,进行筛选得到结果

image-20201208185155729

此外再对流量包查找 如http contains crm.t3sec.cc:8083,

image-20201208191246655

得到,公网和内网端口映射关系

公网内网
oa.t3sec.cc:8082172.16.61.199:80
crm.t3sec.cc:8083172.16.61.210:80
crm.t3sec.cc:8081172.16.61.206:80
118.194.196.232:8090172.16.60.200:8090

之后对黑客登录的账户进行查找

  • 站点 oa.t3sec.cc:8082

查找条件为(http contains oa.t3sec.cc:8082)&& (http contains login)

看不出放回正确的回显,或者说我太菜了 555

image-20201208192542210

从这两组数据中,可以得知黑客知道以下用户信息

usernamepassword
lixiaofeilixiaofei
adminadmin888
  • 站点 crm.t3sec.cc:8083

排除

  • 站点 crm.t3sec.cc:8083

查询 (http contains crm.t3sec.cc:8081 ) && (http contains login) ,得到近 2 万条……

image-20201208195008823

对其中一条请求,根据回显中的set-Cookie:alert=a:1:{s:5:"error";a:1:{i:0;s:15:"请先登录...";}} 可以推断为爆破

image-20201208195228769

暂时找不到 密码正确时的回显

  • 站点 172.16.61.200:8888

排除

  • 站点 172.16.61.199

此处 有172.16.61.1 IP 进行登录

得到正确回显的账户如下

usernamepassword
lixiaofeilixiaofei
adminadmin888
  • 站点 172.16.60.200:8090

查询((http contains 172.16.60.200:8090 ) ) && ( (http contains login) or frame.len == 545)

得到192.160.0.0域内用户登录信息

如下:

image-20201208201249382
  • 站点 (http contains 118.194.196.232:8090 )

nice,只有33条

得到信息如下:

userdomainpassword
itt3sec.ccnetentsec@123
image-20201208201807681

此外,该包还有 sqlmap的特征

tcp contains sqlmap

image-20201208225007557

0x02 数据采集D_eth0_NS_20160804_110123.pcap

很让人感到意外的是ip.src == 111.206.82.164 && http 查找后的包,居然只有 条,😑 是有内网IP吗。

会不会黑客用了MSF 这类工具,毕竟 之前111.206.82.164对端口扫描到 3389(远程桌面的服务端口)、143(IMAP)、7001(weblogic)、25(SMTP)

巧了 MSF没成,但SMTP成了

请求网址得到的信息
172.16.61.206/index.php?m=customer&a=edit&id=42
172.16.61.200:8888/b__k___l___.mp4
172.16.61.199/admin.php?ac=document&fileurl=knowledge&type=1&menuid=24
172.16.60.200:8090/webmail/core/core.dll/cmd=18&fid=1&id=10&type=html&session=L3TIZB55UTliyanguang@t3sec.cc&name=view.html
172.16.60.101/pages/UI.php
118.194.196.232:8090/webmail/client/mail/index.php?module=view&action=mail-read&mailbox=1&mail=17
118.194.196.232:8083/index.php?m=vote&c=index&a=show&action=js&subjectid=1&type=3

对25(SMTP) 服务进行检查, tcp.port == 25 反显 48条

image-20201208212018592

莫名感动

注意的是 65.55.34.146 并不是黑客IP,这个应该是outlook

内容:

image-20201208221400862

大致解码脚本

  • 标题
from email.header import decode_header
for s, c in decode_header("=?gb2312?B?z7XNs8n9vLYgx+u087zS16LS4g==?="):
    print(s.decode(c))
# 系统升级 请大家注意
  • 内容
image-20201208215040768

邮件内容如下:

大家好。
     鉴于公司网络架构改动,部分应用需要升级,旧版本mail、oa、crm等系统逐步将替换,请大家登录http://118.194.196.232:8084/get.php 填写自己的帐号以便配合系统升级。 
    谢谢大家! 

也可以直接将流量包内容保存到xx.eml,再用outlook打开

方法参考于:

https://blog.csdn.net/zhaoweikid/article/details/1634766

师傅的操作是真滴骚

此外,对第一个包(0x01 数据采集D_eth0_NS_20160804_110958.pcap)进行tcp.port == 25,也会找到一组数据

image-20201208221236655

内容如下:

image-20201208221219658

通过ip.src == 111.206.82.164 && http contains login,可以得知111.206.82.164 对三个用户进行了尝试登录

image-20201208222335865

如下:

userpassword
lixiaofenglixiaofeng
itit
lixiaofeilixiaofei
image-20201208223225882

根据反显,得知黑客成功登录的用户是lixiaofei@lixiaofei

最后根据邮件,因为邮件中黑客引诱用户访问 get.php,则再第一个包进行查找

(http contains get.php )

在结果中找到

image-20201209000545248
image-20201209000642460

得知 it@t3sec.cclixiaofei@t3sec.cc进行了访问

结论

  • 黑客的攻击ip是多少,被攻击的内网IP是多少? 数据采集D_eth0_NS_20160804_110958.pcap

攻击IP:

111.206.82.164

内网IP:

172.16.61.206 、172.16.61.200

  • 哪些帐号被黑客窃取了(填写帐号名) 数据采集D_eth0_NS_20160804_110958.pcap,数据采集D_eth0_NS_20160804_110123.pcap

站点 oa.t3sec.cc:8082

usernamepassword
lixiaofeilixiaofei
adminadmin888

站点 118.194.196.232:8090

userdomainpassword
itt3sec.ccnetentsec@123
  • 黑客的服务器ip是多少 数据采集D_eth0_NS_20160804_110958.pcap

111.206.82.164

  • 黑客使用了什么工具? 数据采集D_eth0_NS_20160804_112232.pcap

根据上面分析,工具为 sqlmapawvs

  • 黑客给哪2个帐号发送了钓鱼邮件? 数据采集D_eth0_NS_20160804_110123.pcap

it@t3sec.cc 和 lixiaofei@t3sec.cc

  • 黑客伪造的邮件标题和内容是什么? 数据采集D_eth0_NS_20160804_110123.pcap

标题:

系统升级 请大家注意

内容:

大家好。
     鉴于公司网络架构改动,部分应用需要升级,旧版本mail、oa、crm等系统逐步将替换,请大家登录http://118.194.196.232:8084/get.php 填写自己的帐号以便配合系统升级。 
    谢谢大家!
  • 黑客使用了哪个邮箱给员工发送了钓鱼邮件? 数据采集D_eth0_NS_20160804_110123.pcap

再D_eth0_NS_20160804_110123.pcap中,黑客使用 xsser@live.cn

  • 哪两个员工点开了黑客的email链接(填写员工email地址) 数据采集D_eth0_NS_20160804_110958.pcap

这个有点没明白

it@t3sec.cclixiaofei@t3sec.cc

  • 请指出黑客使用的扫描器指纹是什么?(简称) 数据采集D_eth0_NS_20160804_110958.pcap
扫描器指纹扫描器
vulnwebacunetixawvs
sqlmapsqlmap

后记:

感觉自己思路还是有点乱,😥😥😥

评论

  1. m1keya
    2年前
    2021-11-29 17:34:25

    学长🐂🍺

  2. U42
    2年前
    2022-2-19 12:31:44

    您好,想学习一下这个练习题,请问从哪能下到原始题目和数据包啊?方便发给我一份么,QQ1452707064,十分感谢

  3. haorical
    1年前
    2022-11-11 12:21:37

    学长太强了,已抄袭🥰

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇