文章目录
题目一(1.pcap)
题目要求:
1.黑客攻击的第一个受害主机的网卡IP地址
2.黑客对URL的哪一个参数实施了SQL注入
3.第一个受害主机网站数据库的表前缀(加上下划线例如abc)
4.第一个受害主机网站数据库的名字
1、因为是SQL注入,所以我们首先过滤http和https协议
然后,可以看到,202.1.1.2和 192.168.1.8这两个IP出现的次数较多,同时,也可以知道是202.1.1.2对192.168.1.8进行了攻击
那么第一个问题的答案------受害者的IP地址是192.168.1.8
2、随便查看一个202.1.1.2的http请求包
再进行urlcode解码后,可以看到黑客试图构造一个存储型XSS
option=com_contenthistory&view=history&list[ordering]=&item_id=1&type_id=1&list[select]=(&XfqR=2916 AND 1=1 UNION ALL SELECT 1,NULL,'<script>alert("XSS")</script>',tab查看另外一个包,发现黑客的注入点为list[select]
option=com_contenthistory&view=history&list[ordering]=&item_id=1&type_id=1&list[select]=(" OR (SELECT 2*(IF((SELECT * FROM (SELECT CONCAT(0x71717a7671,(SELECT (ELT(883然后,追踪一个SQL注入的TCP流,可以看到数据库为MariaDB,而且表前缀为ajtuc_
寻找数据库名的话,那么就查找url中包含schema关键字的字段,再对其进行解码,为joomla
答案
1.黑客攻击的第一个受害主机的网卡IP地址
192.168.1.8
2.黑客对URL的哪一个参数实施了SQL注入
list[select]
3.第一个受害主机网站数据库的表前缀(加上下划线例如abc_)
ajtuc_
4.第一个受害主机网站数据库的名字
joomla