这次安恒杯月赛意外地拿到了第三很开心
而且这是我第一次做数据包分析的题目,还拿了一血很开心
(大概是厉害的师傅们都去巅峰极客了)
大体分析
首先看题目题目说是一个黑客入侵了一个人的博客
然后改了管理员的==密码==并且留了一个==后门==
分析
打开统计 -> HTTP -> 请求
可以显示出所有的对服务器的请求
然后大体看一遍
-w925
- wp-login.php 访问了 4019次 估计是在爆破账号密码吧
- 对wordpress不熟所以对下面的都不是很熟
- 一开始一直在想pma是什么,hammer跟我说是phpmyadmin
- /pma/index.php应该是在登录phpmyadmin
-
/wp/index.php/2018/06/14/wordpress 应该是一篇文章
往下翻
-w911
最关键的一句,从这句可以看出他是在这里更改了管理员的密码为toor,但是不知道是登录了phpmyadmin改的,还是怎么改的(先留着)
进入数据包
- 将wireshark上面的过滤器设置过http,就只有http请求了
看一下的话会发现都是172.17.0.3对172.17.0.1发起请求,所以172.17.0.1应该是黑客172.17.0.3应该是服务器
-w959 -
首先先从最上面开始看看出来黑客在爆破目录
-w966
请求了一些路径然后返回了404
-
往下翻
-w1280
这个是在爆破账号密码
- 在流量包中找到之前那句话
sql.php?db=mysql&table=user&sql_query=SET password = PASSWORD('toor')
-w1280
出现了192.168.1.104这个应该是管理员的ip了,可是管理员为啥会自己更改自己的密码,不应该是黑客改的嘛 - 之后黑客居然用root toor登陆进去了看样子那个让管理员改了自己的密码是关键的一个地方,先不管
-w1279 -
在这可以看到黑客成功的写完了shell并且执行了,那他那个shell是啥时候写的往上翻
-w1280 -
就是这他在/wp/wp-content/themes/twentyseventeen/index.php? 写了一个密码为1的shell(要我就掏出菜刀了)
-w1280
有趣的是黑客之前也写过一次但是访问的是wp/index.php
不怎么了解wordpress,所以我也不知道这个写在啥地方 -
之后又写了一个incs的shell在上上幅图片中可以看见
有趣的是那个黑客写了一个shell之后还把他删掉了
-w809
我猜应该是那个路径下的文件不能执行
-w1063
在这里可以看到shell成功执行 -
做这些的前提是拿到了admin的账号密码登录进wp-admin,所以那个改密码应该是最重要的地方,往上分析
-w1279
在上面一点点的地方发现黑客也这样请求了一遍,并且尝试用root toor登陆
-w1280
但是失败了
-w1280
还是弹出了登陆界面=。=
- 在往上翻
-w1279
差了很久时间的这个地方,可以看到黑客在/wp/index.php/2018/06/14/wordpress
-w1280
留下了自己的评论
http://cda9350c6bf1df7a4905128f1771a007.vsplate.me/我猜在这里内嵌了一个
sql.php?db=mysql&table=user&sql_query=SET password = PASSWORD('toor')
进行csrf
总结
这样下来就差不多懂了黑客在干嘛了,他首先先是扫了一下博客的路径,然后在爆破了一下账号密码,没成功,之后再一篇文章中写了一个网址,里面有sql.php?db=mysql&table=user&sql_query=SET password = PASSWORD('toor'),引诱管理员去访问,访问了之后就更改了管理员的密码,然后在登录,利用了admin-ajax.php在/wp/wp-content/themes/twentyseventeen/写了一个shell,然后利用这个shell再写了一个shell,不懂为啥写两次=。=
解题
我用了笨办法来看phpmyadmin的版本
-w493
看到了phpmyadmin的版本号,上网搜索
phpmyadmin 4.7.6 CSRF就有了在这里找到了CVE号CVE-2017-1000499和CWE号CWE-352(CSRF)
写payload:
import requests
from hashlib import *
import re
x = 'CVE-2017-1000499_CWE-352_2018-06-15 09:40:12'.lower()
print md5(x).hexdigest()
就行了