Wireshark之流量包分析+日志分析 (护网:蓝队)web安全 取证 分析黑客攻击流程(上篇)
前言:小编也是在前几天通过,安恒的资深项目经理讲解(甘老师),老师风趣幽默,讲解生动形象,在他讲解的时候,我就萌生出要把这知识点分享出来,当然这只是为小白开启分析之路,并没有什么高操作,分享的只是我的一些解题思路,并不正规!当然里面知识对小白来说估摸着是够了!(舔个B脸向大家要个赞,来满足自己的虚荣心)
内容较多需要慢慢看!
一 工具准备:
首先你要有Wireshark(抓包软件),其次notepad++(文本编辑器)
二 题目:
注意:(我用的是一个已经被黑客攻击过的论坛(流量包+日志)需要的找我(QQ:1981927515),前提:需要购买,价格在5-10元)
1.企业论坛公网ip地址是多少?
2.企业论坛使用的cms小写全称是什么?
3.黑客使用了那款扫描工具对论坛进行扫描?
4.黑客在论坛中上传的shell访问密码?
5.黑客在论坛服务器使用哪条命令获取到服务器所有存在用户?
6.黑客获取到服务器所用的时间?
7.黑客在论坛服务器使用哪条命令获取到root账户的hash
8.web根目录的决对路径
9.论坛服务器开发了哪些端口?共六个
10.黑客是否在内网进行扫描操作?
三 解题:
1.企业论坛公网ip地址是多少?
答案:118.194.196.232:8084
来源:在日志的access_log里
解析:101.36.79.67 - - [10/Aug/2016:00:31:21 -0700] "GET http://118.194.196.232:8084/discuz/upload/ClientAccessPolicy.xml HTTP/1.1" 404 234在564行找到一个对ip地址发起GET请求,一般在对服务器发起请求才会对ip地址请求。在日志access_log中发现有很多响应为404,这肯定是利用工具进行目录扫描,对应在564行发出的请求ip:101.36.79.67 很有可能就是攻击者的ip地址!
2.企业论坛使用的cms小写全称是什么?
答案:discuz
来源:数据采集D_eth0_NS_20160810_152608的流量包中
解析:在网站中一般公安备案中,通过powered by来显示cms全称;在wireshark里面通过过滤来搜索powered by:ip.addr ==101.36.79.67 && http matches "(.*?)powered by" (101.36.79.67 是黑客的ip 后面用的是正侧)
3.黑客使用了那款扫描工具对论坛进行扫描?
答案:awvs
来源:数据采集D_eth0_NS_20160810_152929的流量包中
解析:有很多扫描器,一般常见的例如:“awvs,appscan”他们的全称(awvs:Acunetix Web Vulnerability Scanner,appscan:IBM Security App Scan Standard)。在wireshark中通过正侧匹配一下常用的扫描器前缀名字: ip.addr ==101.36.79.67 && http matches "(.*?)acunetix"
4.黑客在论坛中上传的shell访问密码?
答案:tom
来源:数据采集D_eth0_NS_20160810_153200 中120015行
解析:因为上传sheel里需要有执行函数,例如:eval,用过滤:ip.addr ==101.36.79.67 && http matches "(.*?)eval"
5.黑客在论坛服务器使用哪条命令获取到服务器所有存在用户?
答案:cat /erc/passwd
来源:数据采集D_eth0_NS_20160810_153508中331038行
解析:在linux里查看所有用户,一般在 passwd 或者shadow里 使用过滤:ip.addr ==101.36.79.67 && http matches "(.*?)passwd"
结束语:“不敢高声语,恐惊天上人”
勇敢牛牛,不怕困难!
加油牛牛!
Wireshark之流量包分析+日志分析 (护网:蓝队)web安全 取证 分析黑客攻击流程(上篇)相关推荐
- 护网蓝队面试常见问题(百题斩第一弹)
Windows 入侵排查思路? 收集信息:收集与系统安全相关的信息,包括日志文件.进程列表.网络连接.系统配置等. 分析信息:对收集到的信息进行分析,确定异常行为和潜在威胁. 确认威胁:确认系统存在威 ...
- Wireshark之流量包分析+日志分析 (护网:蓝队)web安全 取证 分析黑客攻击流程(下篇)
前言:咦!确实让我想不到的是,这几天有不少的人催我更新分析的下篇!我以为这像便秘的粑粑,又臭又长没人看!但出乎意料,这不我加班加点就来满足你们咯!所以你懂的(悄悄告诉你:"点赞") ...
- wireshark提取流量包中的文件_返璞归真——流量中提取文件的五种方法
0×00 简介 本期主要会教大家如何从流量中还原出来文件.下面我将会用5种办法来讲解. 0×01 网络流量提取文件(方法1) 1. 安装依赖 Default yum install -y lib ...
- wireshark提取流量包中的文件_从Wireshark监听的数据中提取需要的数据
最近,需要将wireshark监听的数据进行提取,分两步:首先,应该得出wireshark的数据包吧,在图形化界面中可以非常直观的将监听数据进行存储,但是这样需要手动操作非常麻烦,而且容易出错(随着处 ...
- wireshark提取流量包中的文件_[技术]Wireshark抓取的数据包提取文件
0x00 简介 本期主要会教大家如何从流量中还原出来文件.下面我将会用多种办法来讲解. 使用系统:Kali Linux 0x01 tcpxtract工具网络流量提取文件(方法1) Kali Linux ...
- 应急响应与系统加固(护网蓝初面试干货)
目录 一.应急响应的基本流程 1.收集信息 2.判断类型 3.深入分析 4.清理处置 5.产出报告 二.Windows应急响应时排查分析的相关细节 三.系统加固 一.应急响应的基本流程 1.收集信息 ...
- 网络安全-防守-护网
护网背景 一.什么是护网? 网络安全的态势之严峻,迫切需要我们在网络安全领域具备能打硬仗的能力,"护网行动"应运而生. 护网目标 通过防守工作与技术方案,做好"护网&qu ...
- MISC:流量包取证(pcap文件修复、协议分析、数据提取)
文章目录 1.流量包修复 2.协议分析 2.1 wireshark基本操作 2.2 一些例题(各种协议) 3.数据提取 1.流量包修复 这个方向的考点较少 当我们用 wireshark 打开流量包时, ...
- 初入门径 --- 护网钓鱼样本分析
最近半个月都在学<恶意代码分析实战>,想拿真实的恶意软件进行分析一下.正好朋友发了一个过来.(应该是护网的钓鱼文件) 0x01 文件分析 总共包括三个文件:2021年机关员工(子女)名单. ...
最新文章
- Quartz 2D基本图形的绘制
- 回击质疑 HP StoreOnce用高性能说话
- Cos和Qos有什么区别
- 区块链BaaS云服务(28)TOP Network 之全分片主链(Layer-1)
- 如何将自开发的SAP UI5应用以tile的方式配置到SAP Fiori Launchpad里
- [vue] 使用vue开发一个todo小应用,谈下你的思路
- 1 PP配置-一般设置-维护工厂日历
- python正则表达式中group
- 使用charles修改服务器返回数据,charles_01_打断点修改接口请求返回数据
- Spring_对缓存的支持
- 互相关python程序_互相关(cross-correlation)及其在Python中的实现
- 四、瞰景Smart3D创建工程
- 能上QQ微信,打不开网页
- 如何使用Topcoder
- 用python定时发送邮件
- Java Rasp技术浅析
- RSA+AES混合加密实例
- 【已鸽】手机添加nfc模块模拟ic卡开门禁
- TLS/SSL 协议详解 (30) SSL中的RSA、DHE、ECDHE、ECDH流程与区别
- python自带的shell、其性能优于ipython吗_尔雅通识课《社会体育学》答案