Wireshark之流量包分析+日志分析 (护网:蓝队)web安全 取证 分析黑客攻击流程(下篇)

前言:咦!确实让我想不到的是,这几天有不少的人催我更新分析的下篇!我以为这像便秘的粑粑,又臭又长没人看!但出乎意料,这不我加班加点就来满足你们咯!所以你懂的(悄悄告诉你:“点赞”)确实我也觉得这篇能学习到很多知识点,比如:知晓黑客攻击的流程手段,我们可以什么点来防范,采集等。来自安恒的资深项目经理讲解(甘老师)对我的谆谆教诲!(此篇只是自己的解题思路,如有问题,请轻言细语的指出来!感谢!)

本篇是下篇,讲解题目6-10题,如有需要请回顾上篇!

一 回顾题目:

注意:(我用的是一个已经被黑客攻击过的论坛(流量包+日志)需要的联系我(QQ:1981927515),前提:需要购买,价格在5-10元)

        1.企业论坛公网ip地址是多少?

        2.企业论坛使用的cms小写全称是什么?

        3.黑客使用了那款扫描工具对论坛进行扫描?

        4.黑客在论坛中上传的shell访问密码?

        5.黑客在论坛服务器使用哪条命令获取到服务器所有存在用户?

        6.黑客获取到服务器所用的时间?

        7.黑客在论坛服务器使用哪条命令获取到root账户的hash

        8.web根目录的决对路径

        9.论坛服务器开发了哪些端口?共六个

        10.黑客是否在内网进行扫描操作?

二 解题:

        6.黑客获取到服务器所用的时间?

        ps:这道题好像做的有点问题!没深究

        答案:7点36分

        来源:数据采集D_eth0_NS_20160810_153508中223357行

        解析:因为是查找时间,直接过滤date,找到进入root的数据:

  ip.addr ==101.36.79.67 && http matches "(.*?)date"        

Wireshark之流量包分析+日志分析 (护网:蓝队)web安全 取证 分析黑客攻击流程(下篇)_第1张图片

        7.黑客在论坛服务器使用哪条命令获取到root账户的hash

        答案:cat /etc/shadow.swp

        来源:数据采集D_eth0_NS_20160810_153554中244993行

       解析:因为获取root的hash所有直接过滤root:ip.addr ==101.36.79.67 && http matches "(.*?)root",追踪http,看见bs64,直接解码

Wireshark之流量包分析+日志分析 (护网:蓝队)web安全 取证 分析黑客攻击流程(下篇)_第2张图片

Wireshark之流量包分析+日志分析 (护网:蓝队)web安全 取证 分析黑客攻击流程(下篇)_第3张图片

        8.web根目录的决对路径

        答案:/home/wwwroot/

        来源:数据采集D_eth0_NS_20160810_153508中23357行

        解析:因为是根目录,想着与root有关,直接过滤root,然后在看数据中,看到wwwroot这一般是存放根目录的地方  过滤:ip.addr ==101.36.79.67 && http matches "(.*?)root"

Wireshark之流量包分析+日志分析 (护网:蓝队)web安全 取证 分析黑客攻击流程(下篇)_第4张图片

        9.论坛服务器开发了哪些端口?共六个

        答案:22  25  199  631  3306   38580

        来源:数据采集D_eth0_NS_20160810_153943第363529行

        解析:端口proto 直接过滤proto  ip.addr ==101.36.79.67 && http matches "(.*?)proto"

Wireshark之流量包分析+日志分析 (护网:蓝队)web安全 取证 分析黑客攻击流程(下篇)_第5张图片

        10.黑客是否在内网进行扫描操作?

        答案:是

        来源:日志中的bash_history  倒数第三行

        解析:bash_history用于储存用户的操作,使用了nmap 172.16.60.0/24扫描内网

Wireshark之流量包分析+日志分析 (护网:蓝队)web安全 取证 分析黑客攻击流程(下篇)_第6张图片

结束语:针对这一次的分析我总结了几点:1)电脑配置一定要高一些,为了方便我把所有流量包全部打开,挨个过滤查看!但我电脑配置不高,有些卡!2)细心+耐心 需要慢慢的去找,去过滤 3)需要一定的知识基础,像我为什么就直接去过滤root,proto等,需要对linux有一些的基础认识!4)熟悉过滤规则!过滤还有其他方式方法

钟鼓馔玉不足贵,但愿长醉不复醒。

      

你可能感兴趣的