目錄

第一題

1

2

3

4

第二題

1

2

3.

第三題

1

2

第四題

1

2

3

第一題

題目：

1.黑客攻擊的第一個受害主機的網(wǎng)卡IP地址

2.黑客對URL的哪一個參數(shù)實施了SQL注入

3.第一個受害主機網(wǎng)站數(shù)據(jù)庫的表前綴（加上下劃線例如abc）

4.第一個受害主機網(wǎng)站數(shù)據(jù)庫的名字

1

打開流量包，直接篩選http || tls找網(wǎng)絡傳輸協(xié)議,發(fā)現(xiàn)192.168.1.8大量出現(xiàn)，所以直接篩選該Ip

找到不正常的瀏覽器返回500

打開一個看下請求內(nèi)容：

發(fā)現(xiàn)了get里面有urlcode編碼過的內(nèi)容，拿下來解碼看看：

?明顯的sql注入行為，那么受害者就是192.168.1.8了

至于為什么不是202.1.1.2，原因是公網(wǎng)和私網(wǎng)的命名規(guī)則，所以192.168.1.8是私網(wǎng)，202.1.1.2是經(jīng)過nat轉換的公網(wǎng)地址，所以判斷出202.1.1.2是攻擊方

順便可以看到攻擊用的掃描器是sqlmap（User-Agent是可以修改的）

2

直接看URL得出是list這個參數(shù)

3

追蹤一下tcp流可以發(fā)現(xiàn)存在報錯注入，然后得出數(shù)據(jù)庫前綴為：ajtuc_

4

這個比較麻煩，需要再稍微靠后的地方找get參數(shù)中有沒有庫名

前面已經(jīng)知道黑客的Ip了，直接篩選(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http

然后再靠后的地方找

最后找到庫名是joomla

第二題

題目：

1.黑客第一次獲得的php木馬的密碼是什么

2.黑客第二次上傳php木馬是什么時間

3.第二次上傳的木馬通過HTTP協(xié)議中的哪個頭傳遞數(shù)據(jù)

1

根據(jù)第一題獲取的ip直接篩選(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http

同樣打開一個包看下：

?這里的zzz明顯是用decode解碼了一個z0的base64編碼，然后用eval執(zhí)行的，

看下z0解碼后的：

解密出了一個php代碼，發(fā)現(xiàn)一句話后門

那么zzz這個參數(shù)就是shell的密碼了

2

要找第二個木馬，那就看PSOT提交方式有沒有線索：

篩選：(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http.request.method == POST

發(fā)現(xiàn)一個文件的大小異常，有900多。直接追蹤tcp流量

發(fā)現(xiàn)被base64加密的代碼：

?把它解碼：

用vscode打開看看這串代碼：

?這段代碼很明顯是一段混淆過的代碼，但是沒關系，看j和N這兩個變量就行了

這是利用的create_function這個函數(shù)制作的木馬，現(xiàn)在已經(jīng)找到木馬，就是這個包

直接看這個包的上傳時間

看到時間為17:20:44.248365

3.

再隨便點開一個包看看

?發(fā)現(xiàn)Referer異常，而language正常，所以判斷為Referer。

第三題

題目：

1.內(nèi)網(wǎng)主機的mysql用戶名和請求連接的密碼hash是多少

2.php代理第一次被使用時最先連接了哪個IP地址

1

直接篩選：tcp contains "mysql" && mysql（找tcp中包含mysql且使用mysql協(xié)議的包）

發(fā)現(xiàn)大量login，證明是爆破行為，內(nèi)網(wǎng)受害主機位192.168.2.20

既然破解成功了，那就肯定是最后一個包，直接看最后一個包：

得到用戶名和密碼的hash

2

根據(jù)1得到內(nèi)網(wǎng)主機Ip，直接篩選：(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http

能看到，代理是用POST,所以我們就過濾出POST

(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http.request.method==POST && http

打開第一個有tunnel.php的包看到代理Ip：4.2.2.2

第四題

題目：

1.黑客第一次獲取到當前目錄下的文件列表的漏洞利用請求發(fā)生在什么時候

2.黑客在內(nèi)網(wǎng)主機中添加的用戶名和密碼是多少

3.黑客從內(nèi)網(wǎng)服務器中下載下來的文件名

1

目錄的話關鍵詞就是dir或者ls，所以篩選器：

(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && (http contains "dir" || http contains "ls")

分別發(fā)現(xiàn)一條，直接追蹤tcp流

?ls沒有收獲，dir發(fā)現(xiàn)了：

?這個包的時間是：18:37:38.482420

2

ip.addr == 192.168.2.20 && http發(fā)現(xiàn)一個后門sh.php

?用ip.src == 192.168.2.20 && http

在這個包看到一條net user,是windows查看、添加當前用戶的命令

?現(xiàn)在精確篩選一下：

(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && (http contains "user" || http contains "Administrator")

找到用戶名了

根據(jù)不存在這個用戶和存在后的這段時間確定到四個post，挨個查看：

找到base64編碼的值，解碼得出：

所以用戶名密碼均為kaka

3

由于木馬是POST,又是下載文件，所以直接過濾POST請求：

ip.dst == 192.168.2.20 && http.request.method==POST

直接倒最后的包看到編碼：

直接解碼：

?可以得出，下載的文件為lsass.exe_180208_185247.dmp文章來源地址http://www.zghlxwxcb.cn/news/detail-685263.html

到了這里，關于用wireshark流量分析的四個案例的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！