题目一(1.pcap)

题目要求：

1.黑客攻击的第一个受害主机的网卡IP地址

2.黑客对URL的哪一个参数实施了SQL注入

3.第一个受害主机网站数据库的表前缀（加上下划线例如abc）

4.第一个受害主机网站数据库的名字

1、因为是SQL注入，所以我们首先过滤http和https协议

然后，可以看到，202.1.1.2和 192.168.1.8这两个IP出现的次数较多，同时，也可以知道是202.1.1.2对192.168.1.8进行了攻击

那么第一个问题的答案------受害者的IP地址是192.168.1.8

2、随便查看一个202.1.1.2的http请求包

再进行urlcode解码后，可以看到黑客试图构造一个存储型XSS

option=com_contenthistory&view=history&list[ordering]=&item_id=1&type_id=1&list[select]=(&XfqR=2916 AND 1=1 UNION ALL SELECT 1,NULL,'<script>alert("XSS")</script>',tab

查看另外一个包，发现黑客的注入点为list[select]

option=com_contenthistory&view=history&list[ordering]=&item_id=1&type_id=1&list[select]=(" OR (SELECT 2*(IF((SELECT * FROM (SELECT CONCAT(0x71717a7671,(SELECT (ELT(883

然后，追踪一个SQL注入的TCP流，可以看到数据库为MariaDB，而且表前缀为ajtuc_

寻找数据库名的话，那么就查找url中包含schema关键字的字段，再对其进行解码，为joomla

答案

1.黑客攻击的第一个受害主机的网卡IP地址

192.168.1.8

2.黑客对URL的哪一个参数实施了SQL注入

list[select]

3.第一个受害主机网站数据库的表前缀(加上下划线例如abc_)

ajtuc_

4.第一个受害主机网站数据库的名字

joomla