Wireshark之流量包分析+⽇志分析(护⽹:蓝队)web安全取
证分析⿊客攻击流程(上篇)
前⾔:⼩编也是在前⼏天通过,安恒的资深项⽬经理讲解(⽢⽼师),⽼师风趣幽默,讲解⽣动形象,在他讲解的时候,我就萌⽣出要把这知识点分享出来,当然这只是为⼩⽩开启分析之路,并没有什么⾼操作,分享的只是我的⼀些解题思路,并不正规!当然⾥⾯知识对⼩⽩来说估摸着是够了!(舔个B脸向⼤家要个赞,来满⾜⾃⼰的虚荣⼼)
内容较多需要慢慢看!
⼀⼯具准备:
⾸先你要有Wireshark(抓包软件),其次notepad++(⽂本编辑器)
⼆题⽬:
注意:(我⽤的是⼀个已经被⿊客攻击过的论坛(流量包+⽇志)需要的我(QQ:1981927515),前提:需要购买,价格在5-10元)
1.企业论坛公⽹ip地址是多少?
2.企业论坛使⽤的cms⼩写全称是什么?
3.⿊客使⽤了那款扫描⼯具对论坛进⾏扫描?
4.⿊客在论坛中上传的shell访问密码?
5.⿊客在论坛服务器使⽤哪条命令获取到服务器所有存在⽤户?
6.⿊客获取到服务器所⽤的时间?
7.⿊客在论坛服务器使⽤哪条命令获取到root账户的hash
8.web根⽬录的决对路径
9.论坛服务器开发了哪些端⼝?共六个
10.⿊客是否在内⽹进⾏扫描操作?
三解题:
1.企业论坛公⽹ip地址是多少?
答案:118.194.196.232:8084
来源:在⽇志的access_log⾥
2.企业论坛使⽤的cms⼩写全称是什么?
答案:discuz
来源:数据采集D_eth0_NS_20160810_152608的流量包中
解析:在⽹站中⼀般公安备案中,通过powered by来显⽰cms全称;在wireshark⾥⾯通过过滤来搜索powered by:ip.addr ==101.36.79.67 && http matches "(.*?)powered by"  (101.36.79.67 是⿊客的ip  后⾯⽤的是正侧)
3.⿊客使⽤了那款扫描⼯具对论坛进⾏扫描?
答案:awvs
来源:数据采集D_eth0_NS_20160810_152929的流量包中
解析:有很多扫描器,⼀般常见的例如:“awvs,appscan”他们的全称(awvs:Acunetix Web Vulnerability Scanner,appscan:IBM Security App Scan Standard)。在wireshark中通过正侧匹配⼀下常⽤的扫描器前缀名字: ip.addr ==101.36.79.67 && http matches "(.*?)acunetix"
4.⿊客在论坛中上传的shell访问密码?
答案:tom
来源:数据采集D_eth0_NS_20160810_153200 中120015⾏
解析:因为上传sheel⾥需要有执⾏函数,例如:eval,⽤过滤:ip.addr ==101.36.79.67 && http matches "(.*?)eval"
5.⿊客在论坛服务器使⽤哪条命令获取到服务器所有存在⽤户?
discuz还有人用吗
答案:cat /erc/passwd
来源:数据采集D_eth0_NS_20160810_153508中331038⾏
解析:在linux⾥查看所有⽤户,⼀般在 passwd 或者shadow⾥ 使⽤过滤:ip.addr ==101.36.79.67 && http matches " (.*?)passwd"
结束语:“不敢⾼声语,恐惊天上⼈”勇敢⽜⽜,不怕困难!
加油⽜⽜!

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。