用wireshark流量分析的四个案例

目录

第一题

1

2

3

4

第二题

1

2

3.

第三题

1

2

第四题

1

2

3


第一题

题目:

1.黑客攻击的第一个受害主机的网卡IP地址

2.黑客对URL的哪一个参数实施了SQL注入

3.第一个受害主机网站数据库的表前缀(加上下划线例如abc

4.第一个受害主机网站数据库的名字

1

打开流量包,直接筛选http || tls找网络传输协议,发现192.168.1.8大量出现,所以直接筛选该Ip

找到不正常的浏览器返回500

打开一个看下请求内容:

发现了get里面有urlcode编码过的内容,拿下来解码看看:

 明显的sql注入行为,那么受害者就是192.168.1.8了

至于为什么不是202.1.1.2,原因是公网和私网的命名规则,所以192.168.1.8是私网,202.1.1.2是经过nat转换的公网地址,所以判断出202.1.1.2是攻击方

顺便可以看到攻击用的扫描器是sqlmap(User-Agent是可以修改的)

2

直接看URL得出是list这个参数

3

追踪一下tcp流可以发现存在报错注入,然后得出数据库前缀为:ajtuc_

4

这个比较麻烦,需要再稍微靠后的地方找get参数中有没有库名

前面已经知道黑客的Ip了,直接筛选(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http

然后再靠后的地方找

最后找到库名是joomla

第二题

题目:

1.黑客第一次获得的php木马的密码是什么

2.黑客第二次上传php木马是什么时间

3.第二次上传的木马通过HTTP协议中的哪个头传递数据

1

根据第一题获取的ip直接筛选(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http

同样打开一个包看下:

 这里的zzz明显是用decode解码了一个z0的base64编码,然后用eval执行的,

看下z0解码后的:

解密出了一个php代码,发现一句话后门

那么zzz这个参数就是shell的密码了

2

要找第二个木马,那就看PSOT提交方式有没有线索:

筛选:(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http.request.method == POST

发现一个文件的大小异常,有900多。直接追踪tcp流量

发现被base64加密的代码:

 把它解码:

用vscode打开看看这串代码:

 这段代码很明显是一段混淆过的代码,但是没关系,看j和N这两个变量就行了

这是利用的create_function这个函数制作的木马,现在已经找到木马,就是这个包

直接看这个包的上传时间

看到时间为17:20:44.248365

3.

再随便点开一个包看看

 发现Referer异常,而language正常,所以判断为Referer。

第三题

题目:

1.内网主机的mysql用户名和请求连接的密码hash是多少

2.php代理第一次被使用时最先连接了哪个IP地址

1

直接筛选:tcp contains "mysql" && mysql(找tcp中包含mysql且使用mysql协议的包)

发现大量login,证明是爆破行为,内网受害主机位192.168.2.20

既然破解成功了,那就肯定是最后一个包,直接看最后一个包:

得到用户名和密码的hash

2

根据1得到内网主机Ip,直接筛选:(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http

能看到,代理是用POST,所以我们就过滤出POST

(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http.request.method==POST && http

打开第一个有tunnel.php的包看到代理Ip:4.2.2.2

第四题

题目:

1.黑客第一次获取到当前目录下的文件列表的漏洞利用请求发生在什么时候

2.黑客在内网主机中添加的用户名和密码是多少

3.黑客从内网服务器中下载下来的文件名

1

目录的话关键词就是dir或者ls,所以筛选器:

(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && (http contains "dir" || http contains "ls")

分别发现一条,直接追踪tcp流

 ls没有收获,dir发现了:

 这个包的时间是:18:37:38.482420

2

ip.addr == 192.168.2.20 && http发现一个后门sh.php

 用ip.src == 192.168.2.20 && http

在这个包看到一条net user,是windows查看、添加当前用户的命令

 现在精确筛选一下:

(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && (http contains "user" || http contains "Administrator")

找到用户名了

根据不存在这个用户和存在后的这段时间确定到四个post,挨个查看:

找到base64编码的值,解码得出:

所以用户名密码均为kaka

3

由于木马是POST,又是下载文件,所以直接过滤POST请求:

ip.dst == 192.168.2.20 && http.request.method==POST

直接倒最后的包看到编码:

直接解码:

 可以得出,下载的文件为lsass.exe_180208_185247.dmp

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/96401.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

智慧展馆展厅5G+LoRa+蓝牙人员定位系统解决方案

展览业是现代高端服务业的重要组成部分,作为新兴的服务行业,展览业串联着工业、农业、商贸等诸多产业,能够有效拉动产业和消费增长,是中国发展潜力较大的行业之一。如今各个行业越来越多地举办各类展会,由于展馆展厅规…

按照json文件的值复制图片

按照json文件的值复制图片 文件格式处理当前JSON代码封装增加批处理 文件格式 0是不挑选,1是挑选 处理当前JSON # coding: utf-8 from PIL import Image, ImageDraw, ImageFont import os import shutil import cv2 as cv import numpy as np import jsondef read…

Rabbitmq的消息转换器

Spring会把你发送的消息序列化为字节发送给MQ,接收消息的时候,还会把字节反序列化为Java对象 ,只不过,默认情况下Spring采用的序列化方式是JDK序列化。众所周知,JDK序列化存在下列问题: 数据体积过大 有安全漏洞 可读…

java 桥接模式

桥接模式 桥接模式简介桥接模式的实现总结 桥接模式简介 桥接模式(Bridge)是将抽象部分与它的实现部分分离,使它们都可以独立地变化。它是一种对象结构型模式,又称为柄体(Handle and Body)模式或接口(Interfce)模式。 桥接模式基于…

二级MySQL(十)——单表查询

这里我们只在一个表内查询,用到的是较为简单的SELECT函数形式 1、查询指定的字段: 用到的数据库是之前提到的S、P、SP数据库 S表格用到的总数据: 首先我们查询所有供应商的序号和名字 这时都是独立的,没有关系,我们找…

用P,V操作解决进程同步问题的解题步骤(优化版)

蓝颜色是格外注意的 还有读读共享,读写互斥问题。 要背会四个模式,套用模式 例题讲解1)生产者-消费者问题 一般意义的“生产者—消费者”问题:N个buffer,多个生产者,多个消费者,循环存取buffer。…

js删除字符串中的指定字符串

1. 使用 replace() 方法 replace() 将字符串中的指定子字符串替换为新的字符串。 如果删除指定的子字符串,可以将它替换为空字符串。 var str "Hello, World!";var substringToRemove "World";var newStr str.replace(substringToRemove, &q…

Ansible学习笔记8

group模块: 创建一个group组: [rootlocalhost ~]# ansible group1 -m group -a "nameaaa gid5000" 192.168.17.105 | CHANGED > {"ansible_facts": {"discovered_interpreter_python": "/usr/bin/python"}…

亚马逊云科技 云技能孵化营——我的云技能之旅

文章目录 每日一句正能量前言活动流程后记 每日一句正能量 不能在已经获得足够多的成功时,还对自己的能力保持怀疑,露出自信的微笑,走出自信的步伐,做一个自信的人! 前言 亚马逊云科技 (Amazon Web Services) 是全球云…

【论文笔记】最近看的时空数据挖掘综述整理8.27

Deep Learning for Spatio-Temporal Data Mining: A Survey 被引用次数:392 [Submitted on 11 Jun 2019 (v1), last revised 24 Jun 2019 (this version, v2)] 主要内容: 该论文是一篇关于深度学习在时空数据挖掘中的应用的综述。论文首先介绍了时空数…

从传统软件开发到云原生转型:大数据和AI如何引领软件开发的新趋势

文章目录 **1. 数据驱动的开发:****2. 智能化的用户体验:****3. 云原生的可扩展性:****4. 实时处理和决策:****5. 自动化和效率提升:****6. 持续集成和交付的加速:****7. 数据安全和隐私:****8.…

1427205-93-3|Fmoc-Ser(Ac4Manα1-2Ac3Manα1-2Ac3Manα)-OH是指糖类与氨基酸通过糖苷键连接而成的化合物

糖基化氨基酸是指糖类与氨基酸通过糖苷键连接而成的化合物。这种糖苷键的形成是由于糖类的末端羟基与氨基酸的氨基之间发生脱水缩合反应糖。基化氨基酸具有多种生物学功能,如作为酶、激素和抗体的成分,参与细胞识别和信息传递等。 在生物体内&#xff0c…

【C++小项目】实现一个日期计算器

目录 Ⅰ. 引入 Ⅱ. 列轮廓 Ⅲ. 功能的实现 构造函数 Print 判断是否相等 | ! ➡️: ➡️!: 判断大小 > | > | < | < ➡️>&#xff1a; ➡️<&#xff1a; ➡️>&#xff1a; ➡️<&#xff1a; 加减天数 | | - | - ➡️&#xff1a;…

Java CompletableFuture 详细使用教程与实践

一、Java CompletableFuture 详细使用教程 Java 8引入了一种强大的异步编程工具&#xff1a;CompletableFuture。它提供了一种处理异步计算的方式&#xff0c;使得你可以在计算完成时获取结果&#xff0c;或者将一个或多个 CompletableFuture 的结果组合在一起。本部分将详细解…

ABeam×Startup | 德硕管理咨询(深圳)创新研究团队拜访微漾创客空间

近日&#xff0c;德硕管理咨询&#xff08;深圳&#xff09;&#xff08;以下简称&#xff1a;“ABeam-SZ”&#xff09;创新研究团队前往微漾创客空间&#xff08;以下简称&#xff1a;微漾&#xff09;拜访参观&#xff0c;并展开合作交流。会议上&#xff0c;双方相互介绍了…

C语言 - 结构体、结构体数组、结构体指针和结构体嵌套

结构体的意义 问题&#xff1a;学籍管理需要每个学生的下列数据&#xff1a;学号、姓名、性别、年龄、分数&#xff0c;请用 C 语言程序存储并处理一组学生的学籍。 单个学生学籍的数据结构&#xff1a; 学号&#xff08;num&#xff09;&#xff1a; int 型姓名&#xff08;…

Dimensions网站——一个链接研究知识系统

Dimensions网站——一个链接研究知识系统 一、Dimensions网站简介 Dimensions 是一个链接的研究知识系统&#xff0c;它重新构想了发现和研究的获取。Dimensions 由 Digital Science 与全球 100 多个领先研究组织合作开发&#xff0c;汇集了资助、出版物、引文、替代指标、临…

如何在不使用任何软件的情况下将 PDF 转换为 Excel

通常&#xff0c;您可能会遇到这样的情况&#xff1a;您需要的数据不在 Excel 工作表中&#xff0c;而是以数据表形式出现在 PDF 文件中。为了将此数据放入 Excel 工作表中&#xff0c;如果您尝试将数字复制并粘贴到电子表格中&#xff0c;则列/行将无法正确复制和对齐。因此&a…

【数据结构】如何用栈实现队列?图文解析(LeetCode)

LeetCode链接&#xff1a;232. 用栈实现队列 - 力扣&#xff08;LeetCode&#xff09; 注&#xff1a;本文默认读者已掌握栈与队列的基本操作 可以看这篇文章熟悉知识点&#xff1a;【数据结构】栈与队列_字节连结的博客-CSDN博客 目录 做题思路 代码实现 1. MyQueue 2. …

选择排序:用C语言打造高效的排序算法

本篇博客会讲解如何使用C语言实现选择排序。 下面我来画图讲解选择排序的思路。 假设有一个数组&#xff0c;其初始状态如下&#xff0c;我们想把这个数组排成升序。 首先我们标明范围&#xff0c;即[begin, end]&#xff0c;一开始begin(b)和end(e)分别表示数组的第一个位置…