前言:小编也是在前几天通过,安恒的资深项目经理讲解(甘老师),老师风趣幽默,讲解生动形象,在他讲解的时候,我就萌生出要把这知识点分享出来,当然这只是为小白开启分析之路,并没有什么高操作,分享的只是我的一些解题思路,并不正规!当然里面知识对小白来说估摸着是够了!(舔个B脸向大家要个赞,来满足自己的虚荣心)

内容较多需要慢慢看

一        工具准备:

首先你要有Wireshark(抓包软件),其次notepad++(文本编辑器)

二        题目:

注意:(我用的是一个已经被黑客攻击过的论坛(流量包+日志)需要的找我(QQ:1981927515),前提:需要购买,价格在5-10元)

1.企业论坛公网ip地址是多少?

2.企业论坛使用的cms小写全称是什么?

3.黑客使用了那款扫描工具对论坛进行扫描?

4.黑客在论坛中上传的shell访问密码?

5.黑客在论坛服务器使用哪条命令获取到服务器所有存在用户?

6.黑客获取到服务器所用的时间?

7.黑客在论坛服务器使用哪条命令获取到root账户的hash

8.web根目录的决对路径

9.论坛服务器开发了哪些端口?共六个

10.黑客是否在内网进行扫描操作?

三        解题:

1.企业论坛公网ip地址是多少?

答案:118.194.196.232:8084

来源:在日志的access_log里

解析:101.36.79.67 - - [10/Aug/2016:00:31:21 -0700] "GET http://118.194.196.232:8084/discuz/upload/ClientAccessPolicy.xml HTTP/1.1" 404 234在564行找到一个对ip地址发起GET请求,一般在对服务器发起请求才会对ip地址请求。在日志access_log中发现有很多响应为404,这肯定是利用工具进行目录扫描,对应在564行发出的请求ip:101.36.79.67 很有可能就是攻击者的ip地址!

2.企业论坛使用的cms小写全称是什么?

答案:discuz

来源:数据采集D_eth0_NS_20160810_152608的流量包中

解析:在网站中一般公安备案中,通过powered by来显示cms全称;在wireshark里面通过过滤来搜索powered by:ip.addr ==101.36.79.67 && http matches "(.*?)powered by"  (101.36.79.67 是黑客的ip  后面用的是正侧)

3.黑客使用了那款扫描工具对论坛进行扫描?

答案:awvs

来源:数据采集D_eth0_NS_20160810_152929的流量包中

解析:有很多扫描器,一般常见的例如:“awvs,appscan”他们的全称(awvs:Acunetix Web Vulnerability Scanner,appscan:IBM Security App Scan Standard)。在wireshark中通过正侧匹配一下常用的扫描器前缀名字: ip.addr ==101.36.79.67 && http matches "(.*?)acunetix"

4.黑客在论坛中上传的shell访问密码?

答案:tom

来源:数据采集D_eth0_NS_20160810_153200 中120015行

解析:因为上传sheel里需要有执行函数,例如:eval,用过滤:ip.addr ==101.36.79.67 && http matches "(.*?)eval"

5.黑客在论坛服务器使用哪条命令获取到服务器所有存在用户?

答案:cat /erc/passwd

来源:数据采集D_eth0_NS_20160810_153508中331038行

解析:在linux里查看所有用户,一般在 passwd 或者shadow里  使用过滤:ip.addr ==101.36.79.67 && http matches "(.*?)passwd"

结束语:“不敢高声语,恐惊天上人”

勇敢牛牛,不怕困难!

加油牛牛!

Wireshark之流量包分析+日志分析 (护网:蓝队)web安全 取证 分析黑客攻击流程(上篇)相关推荐

  1. 护网蓝队面试常见问题(百题斩第一弹)

    Windows 入侵排查思路? 收集信息:收集与系统安全相关的信息,包括日志文件.进程列表.网络连接.系统配置等. 分析信息:对收集到的信息进行分析,确定异常行为和潜在威胁. 确认威胁:确认系统存在威 ...

  2. Wireshark之流量包分析+日志分析 (护网:蓝队)web安全 取证 分析黑客攻击流程(下篇)

    前言:咦!确实让我想不到的是,这几天有不少的人催我更新分析的下篇!我以为这像便秘的粑粑,又臭又长没人看!但出乎意料,这不我加班加点就来满足你们咯!所以你懂的(悄悄告诉你:"点赞") ...

  3. wireshark提取流量包中的文件_返璞归真——流量中提取文件的五种方法

    0×00  简介 本期主要会教大家如何从流量中还原出来文件.下面我将会用5种办法来讲解. 0×01  网络流量提取文件(方法1) 1.  安装依赖 Default yum install -y lib ...

  4. wireshark提取流量包中的文件_从Wireshark监听的数据中提取需要的数据

    最近,需要将wireshark监听的数据进行提取,分两步:首先,应该得出wireshark的数据包吧,在图形化界面中可以非常直观的将监听数据进行存储,但是这样需要手动操作非常麻烦,而且容易出错(随着处 ...

  5. wireshark提取流量包中的文件_[技术]Wireshark抓取的数据包提取文件

    0x00 简介 本期主要会教大家如何从流量中还原出来文件.下面我将会用多种办法来讲解. 使用系统:Kali Linux 0x01 tcpxtract工具网络流量提取文件(方法1) Kali Linux ...

  6. 应急响应与系统加固(护网蓝初面试干货)

    目录 一.应急响应的基本流程 1.收集信息 2.判断类型 3.深入分析 4.清理处置 5.产出报告 二.Windows应急响应时排查分析的相关细节 三.系统加固 一.应急响应的基本流程 1.收集信息 ...

  7. 网络安全-防守-护网

    护网背景 一.什么是护网? 网络安全的态势之严峻,迫切需要我们在网络安全领域具备能打硬仗的能力,"护网行动"应运而生. 护网目标 通过防守工作与技术方案,做好"护网&qu ...

  8. MISC:流量包取证(pcap文件修复、协议分析、数据提取)

    文章目录 1.流量包修复 2.协议分析 2.1 wireshark基本操作 2.2 一些例题(各种协议) 3.数据提取 1.流量包修复 这个方向的考点较少 当我们用 wireshark 打开流量包时, ...

  9. 初入门径 --- 护网钓鱼样本分析

    最近半个月都在学<恶意代码分析实战>,想拿真实的恶意软件进行分析一下.正好朋友发了一个过来.(应该是护网的钓鱼文件) 0x01 文件分析 总共包括三个文件:2021年机关员工(子女)名单. ...

最新文章

  1. Quartz 2D基本图形的绘制
  2. 回击质疑 HP StoreOnce用高性能说话
  3. Cos和Qos有什么区别
  4. 区块链BaaS云服务(28)TOP Network 之全分片主链(Layer-1)
  5. 如何将自开发的SAP UI5应用以tile的方式配置到SAP Fiori Launchpad里
  6. [vue] 使用vue开发一个todo小应用,谈下你的思路
  7. 1 PP配置-一般设置-维护工厂日历
  8. python正则表达式中group
  9. 使用charles修改服务器返回数据,charles_01_打断点修改接口请求返回数据
  10. Spring_对缓存的支持
  11. 互相关python程序_互相关(cross-correlation)及其在Python中的实现
  12. 四、瞰景Smart3D创建工程
  13. 能上QQ微信,打不开网页
  14. 如何使用Topcoder
  15. 用python定时发送邮件
  16. Java Rasp技术浅析
  17. RSA+AES混合加密实例
  18. 【已鸽】手机添加nfc模块模拟ic卡开门禁
  19. TLS/SSL 协议详解 (30) SSL中的RSA、DHE、ECDHE、ECDH流程与区别
  20. python自带的shell、其性能优于ipython吗_尔雅通识课《社会体育学》答案

热门文章

  1. Vijos - 古韵之鹊桥相会(最短路||DFS)
  2. mongo数据库创建用户
  3. The Fun Of Algorithm - Day4 - 百钱百鸡问题
  4. iOS模拟器不能输入中文解决
  5. 怎样提取PDF文件其中一页
  6. 一犯人在执行死刑前三天供出祖传治癌奇方
  7. NOI WC 2019 小结
  8. opencv基本操作二(读取视频流与保存视频、读取摄像头并保存视频)
  9. 洛谷P1478 陶陶摘苹果(升级版)【水题】
  10. php acs解密,RSA 加密及php实现