前言:咦!确实让我想不到的是,这几天有不少的人催我更新分析的下篇!我以为这像便秘的粑粑,又臭又长没人看!但出乎意料,这不我加班加点就来满足你们咯!所以你懂的(悄悄告诉你:“点赞”)确实我也觉得这篇能学习到很多知识点,比如:知晓黑客攻击的流程手段,我们可以什么点来防范,采集等。来自安恒的资深项目经理讲解(甘老师)对我的谆谆教诲!(此篇只是自己的解题思路,如有问题,请轻言细语的指出来!感谢!)

本篇是下篇,讲解题目6-10题,如有需要请回顾上篇!

一 回顾题目:

注意:(我用的是一个已经被黑客攻击过的论坛(流量包+日志)需要的联系我(QQ:1981927515),前提:需要购买,价格在5-10元)

1.企业论坛公网ip地址是多少?

2.企业论坛使用的cms小写全称是什么?

3.黑客使用了那款扫描工具对论坛进行扫描?

4.黑客在论坛中上传的shell访问密码?

5.黑客在论坛服务器使用哪条命令获取到服务器所有存在用户?

6.黑客获取到服务器所用的时间?

7.黑客在论坛服务器使用哪条命令获取到root账户的hash

8.web根目录的决对路径

9.论坛服务器开发了哪些端口?共六个

10.黑客是否在内网进行扫描操作?

二 解题:

6.黑客获取到服务器所用的时间?

ps:这道题好像做的有点问题!没深究

答案:7点36分

来源:数据采集D_eth0_NS_20160810_153508中223357行

解析:因为是查找时间,直接过滤date,找到进入root的数据:

ip.addr ==101.36.79.67 && http matches "(.*?)date"

7.黑客在论坛服务器使用哪条命令获取到root账户的hash

答案:cat /etc/shadow.swp

来源:数据采集D_eth0_NS_20160810_153554中244993行

解析:因为获取root的hash所有直接过滤root:ip.addr ==101.36.79.67 && http matches "(.*?)root",追踪http,看见bs64,直接解码

8.web根目录的决对路径

答案:/home/wwwroot/

来源:数据采集D_eth0_NS_20160810_153508中23357行

解析:因为是根目录,想着与root有关,直接过滤root,然后在看数据中,看到wwwroot这一般是存放根目录的地方  过滤:ip.addr ==101.36.79.67 && http matches "(.*?)root"

9.论坛服务器开发了哪些端口?共六个

答案:22  25  199  631  3306   38580

来源:数据采集D_eth0_NS_20160810_153943第363529行

解析:端口proto 直接过滤proto  ip.addr ==101.36.79.67 && http matches "(.*?)proto"

10.黑客是否在内网进行扫描操作?

答案:是

来源:日志中的bash_history  倒数第三行

解析:bash_history用于储存用户的操作,使用了nmap 172.16.60.0/24扫描内网

结束语:针对这一次的分析我总结了几点:1)电脑配置一定要高一些,为了方便我把所有流量包全部打开,挨个过滤查看!但我电脑配置不高,有些卡!2)细心+耐心 需要慢慢的去找,去过滤 3)需要一定的知识基础,像我为什么就直接去过滤root,proto等,需要对linux有一些的基础认识!4)熟悉过滤规则!过滤还有其他方式方法

钟鼓馔玉不足贵,但愿长醉不复醒。

Wireshark之流量包分析+日志分析 (护网:蓝队)web安全 取证 分析黑客攻击流程(下篇)相关推荐

  1. 护网蓝队面试常见问题(百题斩第一弹)

    Windows 入侵排查思路? 收集信息:收集与系统安全相关的信息,包括日志文件.进程列表.网络连接.系统配置等. 分析信息:对收集到的信息进行分析,确定异常行为和潜在威胁. 确认威胁:确认系统存在威 ...

  2. Wireshark之流量包分析+日志分析 (护网:蓝队)web安全 取证 分析黑客攻击流程(上篇)

    前言:小编也是在前几天通过,安恒的资深项目经理讲解(甘老师),老师风趣幽默,讲解生动形象,在他讲解的时候,我就萌生出要把这知识点分享出来,当然这只是为小白开启分析之路,并没有什么高操作,分享的只是我的 ...

  3. wireshark提取流量包中的文件_返璞归真——流量中提取文件的五种方法

    0×00  简介 本期主要会教大家如何从流量中还原出来文件.下面我将会用5种办法来讲解. 0×01  网络流量提取文件(方法1) 1.  安装依赖 Default yum install -y lib ...

  4. wireshark提取流量包中的文件_从Wireshark监听的数据中提取需要的数据

    最近,需要将wireshark监听的数据进行提取,分两步:首先,应该得出wireshark的数据包吧,在图形化界面中可以非常直观的将监听数据进行存储,但是这样需要手动操作非常麻烦,而且容易出错(随着处 ...

  5. wireshark提取流量包中的文件_[技术]Wireshark抓取的数据包提取文件

    0x00 简介 本期主要会教大家如何从流量中还原出来文件.下面我将会用多种办法来讲解. 使用系统:Kali Linux 0x01 tcpxtract工具网络流量提取文件(方法1) Kali Linux ...

  6. 应急响应与系统加固(护网蓝初面试干货)

    目录 一.应急响应的基本流程 1.收集信息 2.判断类型 3.深入分析 4.清理处置 5.产出报告 二.Windows应急响应时排查分析的相关细节 三.系统加固 一.应急响应的基本流程 1.收集信息 ...

  7. 网络安全-防守-护网

    护网背景 一.什么是护网? 网络安全的态势之严峻,迫切需要我们在网络安全领域具备能打硬仗的能力,"护网行动"应运而生. 护网目标 通过防守工作与技术方案,做好"护网&qu ...

  8. MISC:流量包取证(pcap文件修复、协议分析、数据提取)

    文章目录 1.流量包修复 2.协议分析 2.1 wireshark基本操作 2.2 一些例题(各种协议) 3.数据提取 1.流量包修复 这个方向的考点较少 当我们用 wireshark 打开流量包时, ...

  9. 初入门径 --- 护网钓鱼样本分析

    最近半个月都在学<恶意代码分析实战>,想拿真实的恶意软件进行分析一下.正好朋友发了一个过来.(应该是护网的钓鱼文件) 0x01 文件分析 总共包括三个文件:2021年机关员工(子女)名单. ...

最新文章

  1. 【模板】单源最短路径(弱化版)
  2. mysql的单行注释_MySQL基础--会这些就够了
  3. 我是这样用extern的...
  4. C语言试题五十五之m个人的成绩存放在score数组中,请编写函数function,它的功能是:将高于平均分的人数作为函数值返回,将高于平均分的分数放在high所指定的数组中。
  5. java swing游戏_Java Swing井字游戏
  6. c语言所有关键字作用,void_C语言void关键字详解
  7. Python--day26--复习
  8. 妈妈再也不用担心孩子偷玩手机了!微信升级“青少年模式”
  9. kettle转换和作业插件开发及调试
  10. 【COGS 1873】 [国家集训队2011]happiness(吴确) 最小割
  11. 好的身体是革命的本钱
  12. 5.企业安全建设指南(金融行业安全架构与技术实践) --- 安全团队建设
  13. vim编辑器常用命令整理
  14. UNITY历史版本下载列表
  15. android触屏对焦_Android自定义相机实现自动对焦和手动对焦
  16. Reasoning-RCNN 论文笔记
  17. 红米充电短路 红米note3充电短路 无法充电
  18. Java 新人含笑7步癫 No.140
  19. H3C交换机型号区分
  20. WiFi基本概念(一)WiFi和互联网

热门文章

  1. java生成xml文件head,生成XML文件 - Glucose的个人空间 - OSCHINA - 中文开源技术交流社区...
  2. 利辛县腾讯服务器维护,腾讯内容开放平台
  3. 伦敦国王学院计算机申请要求,伦敦大学国王学院计算机科学与管理本科申请条件.pdf...
  4. VUE3+Vite开发网易云音乐 Day1 后端环境搭建
  5. 磁盘配额(Quota)磁盘阵列(RAID)逻辑卷轴管理器(LVM)学习记录
  6. Delphi 获取系统时间分隔符
  7. [Eigen中文文档] 归约、访问者和广播
  8. 详细了解SQLITE 优缺点 性能测试
  9. APS究竟是什么系统呢?看完文章你就知道了
  10. 计算机网络(三)—— 数据链路层(1):数据链路层概述