前言：小编也是在前几天通过，安恒的资深项目经理讲解（甘老师），老师风趣幽默，讲解生动形象，在他讲解的时候，我就萌生出要把这知识点分享出来，当然这只是为小白开启分析之路，并没有什么高操作，分享的只是我的一些解题思路，并不正规！当然里面知识对小白来说估摸着是够了！（舔个B脸向大家要个赞，来满足自己的虚荣心）

内容较多需要慢慢看！

一        工具准备：

首先你要有Wireshark(抓包软件)，其次notepad++（文本编辑器）

二        题目：

        注意：（我用的是一个已经被黑客攻击过的论坛（流量包+日志）需要的找我（QQ：1981927515），前提：需要购买，价格在5-10元）

        1.企业论坛公网ip地址是多少？

        2.企业论坛使用的cms小写全称是什么？

        3.黑客使用了那款扫描工具对论坛进行扫描？

        4.黑客在论坛中上传的shell访问密码？

        5.黑客在论坛服务器使用哪条命令获取到服务器所有存在用户？

        6.黑客获取到服务器所用的时间？

        7.黑客在论坛服务器使用哪条命令获取到root账户的hash

        8.web根目录的决对路径

        9.论坛服务器开发了哪些端口？共六个

        10.黑客是否在内网进行扫描操作？

三        解题：

        1.企业论坛公网ip地址是多少？

        答案：118.194.196.232：8084

        来源：在日志的access_log里

      解析：101.36.79.67 - - [10/Aug/2016:00:31:21 -0700] "GET http://118.194.196.232:8084/discuz/upload/ClientAccessPolicy.xml HTTP/1.1" 404 234在564行找到一个对ip地址发起GET请求，一般在对服务器发起请求才会对ip地址请求。在日志access_log中发现有很多响应为404，这肯定是利用工具进行目录扫描，对应在564行发出的请求ip：101.36.79.67 很有可能就是攻击者的ip地址！

        2.企业论坛使用的cms小写全称是什么？

        答案：discuz

        来源：数据采集D_eth0_NS_20160810_152608的流量包中

        解析：在网站中一般公安备案中，通过powered by来显示cms全称；在wireshark里面通过过滤来搜索powered by：ip.addr ==101.36.79.67 && http matches "(.*?)powered by"  （101.36.79.67 是黑客的ip  后面用的是正侧）

        3.黑客使用了那款扫描工具对论坛进行扫描？

       答案：awvs

       来源：数据采集D_eth0_NS_20160810_152929的流量包中

       解析：有很多扫描器，一般常见的例如：“awvs，appscan”他们的全称（awvs：Acunetix Web Vulnerability Scanner，appscan：IBM Security App Scan Standard）。在wireshark中通过正侧匹配一下常用的扫描器前缀名字： ip.addr ==101.36.79.67 && http matches "(.*?)acunetix"

        4.黑客在论坛中上传的shell访问密码？

        答案：tom

        来源：数据采集D_eth0_NS_20160810_153200 中120015行

       解析：因为上传sheel里需要有执行函数，例如：eval，用过滤：ip.addr ==101.36.79.67 && http matches "(.*?)eval"

        5.黑客在论坛服务器使用哪条命令获取到服务器所有存在用户？

        答案：cat /erc/passwd

        来源：数据采集D_eth0_NS_20160810_153508中331038行

     解析：在linux里查看所有用户，一般在 passwd 或者shadow里  使用过滤：ip.addr ==101.36.79.67 && http matches "(.*?)passwd"

结束语：“不敢高声语，恐惊天上人”

勇敢牛牛，不怕困难！

加油牛牛！