Wireshark之流量包分析+日志分析 (护网:蓝队)web安全 取证 分析黑客攻击流程(上篇)

发布时间:2023-01-15 21:00

前言:小编也是在前几天通过,安恒的资深项目经理讲解(甘老师),老师风趣幽默,讲解生动形象,在他讲解的时候,我就萌生出要把这知识点分享出来,当然这只是为小白开启分析之路,并没有什么高操作,分享的只是我的一些解题思路,并不正规!当然里面知识对小白来说估摸着是够了!(舔个B脸向大家要个赞,来满足自己的虚荣心)

内容较多需要慢慢看

一        工具准备:

首先你要有Wireshark(抓包软件),其次notepad++(文本编辑器)

二        题目:

        注意:(我用的是一个已经被黑客攻击过的论坛(流量包+日志)需要的找我(QQ:1981927515),前提:需要购买,价格在5-10元)

Wireshark之流量包分析+日志分析 (护网:蓝队)web安全 取证 分析黑客攻击流程(上篇)_第1张图片

        1.企业论坛公网ip地址是多少?

        2.企业论坛使用的cms小写全称是什么?

        3.黑客使用了那款扫描工具对论坛进行扫描?

        4.黑客在论坛中上传的shell访问密码?

        5.黑客在论坛服务器使用哪条命令获取到服务器所有存在用户?

        6.黑客获取到服务器所用的时间?

        7.黑客在论坛服务器使用哪条命令获取到root账户的hash

        8.web根目录的决对路径

        9.论坛服务器开发了哪些端口?共六个

        10.黑客是否在内网进行扫描操作?

三        解题:

        1.企业论坛公网ip地址是多少?

        答案:118.194.196.232:8084

        来源:在日志的access_log里

      解析:101.36.79.67 - - [10/Aug/2016:00:31:21 -0700] "GET http://118.194.196.232:8084/discuz/upload/ClientAccessPolicy.xml HTTP/1.1" 404 234在564行找到一个对ip地址发起GET请求,一般在对服务器发起请求才会对ip地址请求。在日志access_log中发现有很多响应为404,这肯定是利用工具进行目录扫描,对应在564行发出的请求ip:101.36.79.67 很有可能就是攻击者的ip地址!

Wireshark之流量包分析+日志分析 (护网:蓝队)web安全 取证 分析黑客攻击流程(上篇)_第2张图片

        2.企业论坛使用的cms小写全称是什么?

        答案:discuz

        来源:数据采集D_eth0_NS_20160810_152608的流量包中

        解析:在网站中一般公安备案中,通过powered by来显示cms全称;在wireshark里面通过过滤来搜索powered by:ip.addr ==101.36.79.67 && http matches "(.*?)powered by"  (101.36.79.67 是黑客的ip  后面用的是正侧)

Wireshark之流量包分析+日志分析 (护网:蓝队)web安全 取证 分析黑客攻击流程(上篇)_第3张图片

Wireshark之流量包分析+日志分析 (护网:蓝队)web安全 取证 分析黑客攻击流程(上篇)_第4张图片

        3.黑客使用了那款扫描工具对论坛进行扫描?

       答案:awvs

       来源:数据采集D_eth0_NS_20160810_152929的流量包中

       解析:有很多扫描器,一般常见的例如:“awvs,appscan”他们的全称(awvs:Acunetix Web Vulnerability Scanner,appscan:IBM Security App Scan Standard)。在wireshark中通过正侧匹配一下常用的扫描器前缀名字: ip.addr ==101.36.79.67 && http matches "(.*?)acunetix"

Wireshark之流量包分析+日志分析 (护网:蓝队)web安全 取证 分析黑客攻击流程(上篇)_第5张图片

        4.黑客在论坛中上传的shell访问密码?

        答案:tom

        来源:数据采集D_eth0_NS_20160810_153200 中120015行

       解析:因为上传sheel里需要有执行函数,例如:eval,用过滤:ip.addr ==101.36.79.67 && http matches "(.*?)eval"

Wireshark之流量包分析+日志分析 (护网:蓝队)web安全 取证 分析黑客攻击流程(上篇)_第6张图片

Wireshark之流量包分析+日志分析 (护网:蓝队)web安全 取证 分析黑客攻击流程(上篇)_第7张图片

        5.黑客在论坛服务器使用哪条命令获取到服务器所有存在用户?

        答案:cat /erc/passwd

        来源:数据采集D_eth0_NS_20160810_153508中331038行

     解析:在linux里查看所有用户,一般在 passwd 或者shadow里  使用过滤:ip.addr ==101.36.79.67 && http matches "(.*?)passwd"

Wireshark之流量包分析+日志分析 (护网:蓝队)web安全 取证 分析黑客攻击流程(上篇)_第8张图片

结束语:“不敢高声语,恐惊天上人”

勇敢牛牛,不怕困难!

加油牛牛!

ItVuer - 免责声明 - 关于我们 - 联系我们

本网站信息来源于互联网,如有侵权请联系:561261067@qq.com

桂ICP备16001015号