流量分析(5.5信息安全铁人三项赛数据赛题解)

黑客通过外部的web服务器攻击到企业内部的系统中,并留下了web后门,通过外部服务器对内部进行了攻击。

目录

黑客攻击的第一个受害主机的网卡IP地址

黑客对URL的哪一个参数实施了SQL注入

第一个受害主机网站数据库的表前缀(加上下划线 例如abc_)

第一个受害主机网站数据库的名字

Joomla后台管理员的密码是多少

黑客第一次获得的php木马的密码是什么

黑客第二次上传php木马是什么时间

第二次上传的木马通过HTTP协议中的哪个头传递数据

内网主机的mysql用户名和请求连接的密码hash是多少(用户:密码hash)

php代理第一次被使用时最先连接了哪个IP地址

黑客第一次获取到当前目录下的文件列表的漏洞利用请求发生在什么时候

黑客在内网主机中添加的用户名和密码是多少

黑客从内网服务器中下载下来的文件名


黑客攻击的第一个受害主机的网卡IP地址

先过滤出http流量大致的看一眼

随便往下拖了点就看到了长串的奇怪的url,明显的sql注入

受害主机ip:192.168.1.8

黑客对URL的哪一个参数实施了SQL注入

继续看黑客sql注入的流量

这里的注入点明显就是list[select]

第一个受害主机网站数据库的表前缀(加上下划线 例如abc_)

搜索关键字table

ip.addr == 202.1.1.2 && http contains"table"

这里我随便点了一个,发现正在查字段,table_name=0x后面的就是8进制的表名了

(这里有很多中方法可以查看,可以随机应变)

这里也可以直接拉到最下面去看黑客最后几步的东西(因为查到后面黑客的信息搜集的差不多了,基本都能找到)

joomla.ajtuc_users

所以表前缀是ajtuc_

第一个受害主机网站数据库的名字

从上一题找到的数据包就能看到此网站的数据库是joomla

例如123.abc_a那就说明这个是123数据库的abc_a表

Joomla后台管理员的密码是多少

这里我们去查看黑客的POST传参数据,或者去找登录页面,又或者找黑客从数据库里找到的数据

查看黑客POST传参的流量

ip.addr == 202.1.1.2 && http.request.method == POST

试试找登录界面

ip.addr == 202.1.1.2 && http contains"login"

后台管理员密码:password

黑客第一次获得的php木马的密码是什么

这里来到第二个数据包

查看黑客post流量

ip.addr == 202.1.1.2 && http.request.method == POST

这里能看到黑客通过kkkaaa.php的zzz传输了命令

黑客第二次上传php木马是什么时间

 单独搜索此文件kkkaaa.php

ip.addr == 202.1.1.2 && http contains"kkkaaa.php"

从我流量分析的经验来讲每当出现三个传输参数时,一般就是上传文件

z0传命令,z1是上传文件的路径以及名字,z2是文件内容(16进制)

将这些解密看看

这里就能看到黑客传了个footer.php上去

所以黑客第二次传送木马的时间是这个数据包

Feb  7, 2018 17:20:44.248365000 中国标准时间

第二次上传的木马通过HTTP协议中的哪个头传递数据

将我们找到的footer.php木马内容解密出来

这里解出来的东西又咋又乱完全不能看

既然他说是http协议中的哪个头来传递数据,那我们就直接去找黑客怎么通过这个footer.php传递数据的

ip.addr == 202.1.1.2 && http contains"footer.php"

从这里看是通过referer来传递信息的

内网主机的mysql用户名和请求连接的密码hash是多少(用户:密码hash)

这里来到第4个数据包

这里查看黑客通过第一台服务器为跳板来连接的mysql

ip.addr == 192.168.1.8 && mysql

这里能看到黑客正在爆破mysql账户密码

我们直接向下拉,找到黑客成功登录那里

直到这个数据包发送后mysql服务器返回了ok说明登录成功了,那这个数据包里的password的hash值就是真确的

admin:1a3068c3e29e03e3bcfdba6f8669ad23349dc6c4

php代理第一次被使用时最先连接了哪个IP地址

继续查看黑客对服务器的攻击

ip.src == 202.1.1.2 && ip.dst == 192.168.1.8  && http

这里发现多了一个tunnal.php文件,并且执行了命令connect连接了4.2.2.2ip

黑客第一次获取到当前目录下的文件列表的漏洞利用请求发生在什么时候

这里来到第九个数据包

(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && (http contains "dir" || http contains "ls")

这里能看到黑客把192.168.1.8这台服务器当作跳板在192.168.2.20上执行了命令

箭头指向的第一个包发送后响应包没有信息,第二个包执行dir命令返回了目录

所以发生时间是这个包

时间:Feb  7, 2018 18:36:59.770782000 中国标准时间

黑客在内网主机中添加的用户名和密码是多少

内网主机应该指的是黑客通过192.168.1.8来攻击的192.168.2.20

查看黑客的动作(因为通过上一题找到的,黑客通过system来执行命令)

ip.addr == 192.168.1.8 && http contains"system"

当读取到这个数据包时,能看到黑客通过echo函数添加了一个webshell在服务器里(sh.php)

现在重点查看黑客访问这个后门的数据

ip.addr == 192.168.1.8 && http contains"sh.php"

1上传  2访问是否成功  3执行命令

这里看响应包到这个数据包以后出现了net user,并且看后面连个响应包里,出现了kaka用户

向上分析

将这个数据包传递的数据解码后能看到黑客添加了kaka用户名也是kaka

黑客从内网服务器中下载下来的文件名

还是继续看黑客通过sh.php传递的数据

到这个数据时,能看到传递了数据,但是没有响应包

将命令解码看看

这里看来黑客是下载了lsass.exe_180208_185247.dmp文件

总结:

  1. 分析攻击者想法以及攻击原理
  2. 一般最初的攻击都是在web端开始比如(sql注入、目录扫描)
  3. 内网渗透是在拿下有连接外网的服务器后通过将服务器当作跳板进行的
  4. 搜关键字很重要
  5. 多刷题多刷题

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/142873.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

哔哩哔哩自动引流软件的运行分享,以及涉及到技术与核心代码分享

先来看实操成果,↑↑需要的同学可看我名字↖↖↖↖↖,或评论888无偿分享 大家好,我是一名专注于自动引流软件研发的技术专家。今天,我将与大家分享自动引流软件涉及到的技术与核心代码,希望能为大家提供一些有价值的参…

【postgresql】查看数据中表的信息

切换到postgresql数据库,各种不适应吧。 有个需求需要查询数据表的各种信息。 下面我们一起学习吧。 ●PostgreSQL: Documentation PostgreSQL: Documentation ●pg_namespace 存储名字空间。名字空间是 SQL 模式下层的结构:每个名字空间有独立的关系…

Java排序算法之基数排序

基数排序(Radix Sort)是一种线性时间复杂度的排序算法,其时间复杂度为O(d(nk)),其中d是数字的位数,k是进制数。基数排序是一种非比较排序算法,它按照数位的大小来进行排序。它可以处理正整数、负整数和小数…

kubectl 常用命令搜集 —— 筑梦之路

集群信息&#xff1a; 1. 显示 Kubernetes 版本&#xff1a;kubectl version 2. 显示集群信息&#xff1a;kubectl cluster-info 3. 列出集群中的所有节点&#xff1a;kubectl get nodes 4. 查看一个具体的节点详情&#xff1a;kubectl describe node <node-name> 5.…

csh 脚本批量处理文件并将文件扔给程序

文章目录 前言程序批量造 case 并将 cmd 扔给程序运行批量收集数据汇总 前言 Linux下我们经常会写一些shell脚本来辅助我们学习或者工作&#xff0c;从而提高效率。 之前就写过一篇博客&#xff1a;Linux下利用shell脚本批量产生内容有规律变化的文件 程序 批量造 case 并将…

国际阿里云:无法访问ECS实例中的服务的排查方法!!!

操作场景 无法访问ECS实例中的服务可能有以下原因&#xff1a; 可能原因 排查方案 ECS实例的安全组未开放相应端口 检查ECS实例安全组规则 ECS实例中&#xff0c;该服务未启动/开启或服务对应端口未被监听 检查服务状态及端口监听状态 ECS实例内防火墙设置错误 检查ECS…

linux中mysql下mysqldump命令常见用法详解

linux中mysql下mysqldump命令常见用法详解 一、导出1、数据库db级2、数据表级3. 主要导出参数 二、 导入1. 常用导入方法2. 导入示例 三、 拼出部分对象创建语句1. 导出视图创建语句2. 导出其他对象 一、导出 1、数据库db级 导出所有db结构和数据 mysqldump -uroot -p -A >…

计算机网络基础导览

入门 一看就懂&#xff0c;原来这就是计算机网络-CSDN博客一看就懂&#xff0c;把“百度”搬回家-CSDN博客 理论基础 以太网数据帧-CSDN博客 扩展 用互联网思维打造物流网&#xff08;别人笑我太疯癫&#xff0c;我把自己当成仙&#xff09;-CSDN博客

玩转ChatGPT:ARIMA模型定制GPT-1.0

一、写在前面 好久不更新咯&#xff01; OpenAI又推出了GPT的一系列重大更新&#xff0c;其中GPTs深得我心啊。 GPTs允许用户创建自定义的ChatGPT版本&#xff0c;以满足自己各种特定需求。其核心理念在于&#xff0c;用户可以为不同的场景和任务创建定制化的ChatGPT。这意味…

2023云计算发展趋势

目录 一、云计算是什么&#xff1f; 二、云计算发展趋势 三、总结 一、云计算是什么&#xff1f; 云计算是一种基于互联网的计算方式&#xff0c;通过网络连接的方式提供计算能力、存储服务、应用程序和数据资源。它通常通过虚拟化技术实现多个计算机资源的池化&#xff0c;…

【NodeJS】Nodejs安装及环境配置

下载安装包 网址&#xff1a;https://nodejs.org/en 安装程序 1.下载完成后&#xff0c;双击安装包&#xff0c;进行安装&#xff0c;一路默认配置 nxet 即可&#xff0c;安装路劲给默认在C盘&#xff0c;或者选择其他位置&#xff0c;当前教程默认C盘 2.下图根据本身的…

会议邀请 | 思腾合力邀您共赴第二十五届高交会(CHTF2023)

2023年11月15-19日&#xff0c;以“激发创新活力 提升发展质量”为主题的「第二十五届中国国际高新技术成果交易会&#xff08;CHTF2023&#xff09;」将在深圳会展中心&#xff08;福田&#xff09;和深圳国际会展中心&#xff08;宝安&#xff09;举办。思腾合力作为行业领先…

新版软考高项试题分析精选(三)

请点击↑关注、收藏&#xff0c;本博客免费为你获取精彩知识分享&#xff01;有惊喜哟&#xff01;&#xff01; 1、项目整体管理要综合考虑项目各个相关过程&#xff0c;围绕整体管理特点&#xff0c;以下说法中&#xff0c;&#xff08; &#xff09;是不正确的。 A.项目的…

java springboot2.7 JSR303与Hibernate进行Bean的数据校验

我们如果对数据能进行格式校验 做个安全检查就会容易很多 其实 各个系统中都必然后拥有数据校验&#xff0c;这也不是新东西 J2EE规范中JSR303就规范定义了一组有关数据校验的API 首先 我们在 pom.xml 中 注入依赖 <dependency><groupId>javax.validation</gr…

SpringEvent事件通知机制

“Spring Event” 是 Spring 框架通过事件驱动的编程模型来处理应用程序中的事件。开发者可以定义自己的事件&#xff0c;然后在应用程序中触发这些事件。Spring 框架提供了用于发布和监听事件的机制&#xff0c;以实现松散耦合的组件间通信。 有两个核心组件&#xff1a; 事…

centos 6.10 安装 tcmalloc

安装 libunwind-1.6.2 下载地址 解压文件 cd libunwind-1.6.2 ./configure make && make install另一种方式 从 github 上下载的项目, 在执行autoreconf -i 时一直报错&#xff0c;libtool 未定义&#xff0c; 要先在当前目录执行 libtoolize&#xff0c;再执行 au…

PostGIS学习教程五:简单的SQL语句

SQL&#xff0c;或"Structured Query Language-结构化查询语言"&#xff0c;是对关系数据库进行查询数据和更新数据的一种方法。 当我们创建第一个数据库时&#xff0c;你已经看到了SQL&#xff1a; SELECT postgis_full_version();查看PostGIS的版本信息。 在前面的…

应届裁员,天胡开局——谈谈我的前端一年经历

应届裁员&#xff0c;天胡开局——谈谈我的前端一年经历 许久没有更新了&#xff0c;最近一个月都在忙&#xff0c;没错&#xff0c;正如题目所说&#xff0c;裁员然后找工作… 这周刚重新上班&#xff0c;工作第二天&#xff0c;感慨良多&#xff0c;记录些什么吧。 去年十…

基于springboot实现学生选课平台管理系统项目【项目源码】计算机毕业设计

基于springboot实现学生选课平台管理系统演示 系统开发平台 在该地方废物回收机构管理系统中&#xff0c;Eclipse能给用户提供更多的方便&#xff0c;其特点一是方便学习&#xff0c;方便快捷&#xff1b;二是有非常大的信息储存量&#xff0c;主要功能是用在对数据库中查询和…

Outlook如何恢复已删除邮件

Outlook如何恢复已删除邮件 操作指引&#xff1a; Outlook客户端恢复最近7天删除的邮件&#xff1a; Outlook客户端要求最新版本&#xff0c;如没有如下选项&#xff0c;建议联机更新windows update 网页邮箱恢复最近7天删除的邮件&#xff1a;