前言:小编也是在前几天通过,安恒的资深项目经理讲解(甘老师),老师风趣幽默,讲解生动形象,在他讲解的时候,我就萌生出要把这知识点分享出来,当然这只是为小白开启分析之路,并没有什么高操作,分享的只是我的一些解题思路,并不正规!当然里面知识对小白来说估摸着是够了!(舔个B脸向大家要个赞,来满足自己的虚荣心)
内容较多需要慢慢看!
一 工具准备:
首先你要有Wireshark(抓包软件),其次notepad++(文本编辑器)
二 题目:
注意:(我用的是一个已经被黑客攻击过的论坛(流量包+日志)需要的找我(QQ:1981927515),前提:需要购买,价格在5-10元)
1.企业论坛公网ip地址是多少?
2.企业论坛使用的cms小写全称是什么?
3.黑客使用了那款扫描工具对论坛进行扫描?
4.黑客在论坛中上传的shell访问密码?
5.黑客在论坛服务器使用哪条命令获取到服务器所有存在用户?
6.黑客获取到服务器所用的时间?
7.黑客在论坛服务器使用哪条命令获取到root账户的hash
8.web根目录的决对路径
9.论坛服务器开发了哪些端口?共六个
10.黑客是否在内网进行扫描操作?
三 解题:
1.企业论坛公网ip地址是多少?
答案:118.194.196.232:8084
来源:在日志的access_log里
解析:101.36.79.67 - - [10/Aug/2016:00:31:21 -0700] "GET http://118.194.196.232:8084/discuz/upload/ClientAccessPolicy.xml HTTP/1.1" 404 234在564行找到一个对ip地址发起GET请求,一般在对服务器发起请求才会对ip地址请求。在日志access_log中发现有很多响应为404,这肯定是利用工具进行目录扫描,对应在564行发出的请求ip:101.36.79.67 很有可能就是攻击者的ip地址!
2.企业论坛使用的cms小写全称是什么?
答案:discuz
来源:数据采集D_eth0_NS_20160810_152608的流量包中
解析:在网站中一般公安备案中,通过powered by来显示cms全称;在wireshark里面通过过滤来搜索powered by:ip.addr ==101.36.79.67 && http matches "(.*?)powered by" (101.36.79.67 是黑客的ip 后面用的是正侧)
3.黑客使用了那款扫描工具对论坛进行扫描?
答案:awvs
来源:数据采集D_eth0_NS_20160810_152929的流量包中
解析:有很多扫描器,一般常见的例如:“awvs,appscan”他们的全称(awvs:Acunetix Web Vulnerability Scanner,appscan:IBM Security App Scan Standard)。在wireshark中通过正侧匹配一下常用的扫描器前缀名字: ip.addr ==101.36.79.67 && http matches "(.*?)acunetix"
4.黑客在论坛中上传的shell访问密码?
答案:tom
来源:数据采集D_eth0_NS_20160810_153200 中120015行
解析:因为上传sheel里需要有执行函数,例如:eval,用过滤:ip.addr ==101.36.79.67 && http matches "(.*?)eval"
5.黑客在论坛服务器使用哪条命令获取到服务器所有存在用户?
答案:cat /erc/passwd
来源:数据采集D_eth0_NS_20160810_153508中331038行
解析:在linux里查看所有用户,一般在 passwd 或者shadow里 使用过滤:ip.addr ==101.36.79.67 && http matches "(.*?)passwd"
结束语:“不敢高声语,恐惊天上人”
勇敢牛牛,不怕困难!
加油牛牛!
