wireshark
Wireshark(前稱Ethereal)是一個網絡封包分析軟件。網絡封包分析軟件的功能是擷取網絡封包,並儘可能顯示出最爲詳細的網絡封包資料。Wireshark使用WinPCAP作爲接口,直接與網卡進行數據報文交換。
下面是在網上找的數據包資源,來自2018的鐵人三項流量分析題目,一共有二十題,共有六個數據包,本人習慣一題一題來,不過可能是個很不好的習慣
1.黑客的IP是多少
很明顯這也是我們平常乾的事情phpinfo
黑客IP:202.1.1.2
2.服務器1.99的web服務器使用的CMS及其版本號(請直接複製)
一般網站的CMS會顯示在網站底部,找到一個以192.168.1。99的響應包直接查看底部
諾,CMS就是EasyTalk X2.0.1
3.服務器拿到的webshell的網址(請輸入url解碼後的網址)
服務器拿到webshell的網址很大可能是上傳一句話拿webshell,那麼設置過濾器
http && (ip.src==202.1.1.2 || ip.dst == 192.168.1.99)
很明顯的一句話,將url解碼
http://202.1.1.1/index.php/module/action/param1/${@print(eval($_POST[c]))}
4.服務器1.99的主機名
這裏又不能用菜刀連接,也找不到攻擊者執行的一些查看信息的代碼,咦等等剛剛又phpinfo呀
現在只需要驗證1.99是否返回了請求,返回了請求直接查看源碼
主機名:
Linux simplefight1 2.6.32-431.el6.x86_64 #1 SMP Fri Nov 22 03:15:09 UTC 2013 x86_64
5.網站根目錄的絕對路徑(注意最後加斜槓)
絕對路徑phpinfo裏也能查到
/var/www/html/easytalk
6.黑客上傳的第一個文件名稱是什麼
這裏使用過濾器
http && (ip.src==202.1.1.2 || ip.dst == 192.168.1.99) && http.request.method==POST
application/x-www-form-urlencode是是一種表單提交方式,該方式是採用urlencode的,提交的數據都是經過加密的,服務端需要decode才能正確獲得數據。
base64解碼得
/var/www/html/easytalk/tunnel.nosocket.php
7.黑客進行內網掃描,掃描的端口都有哪些(端口從小到大,用英文逗號分隔)
這樣答案很明顯啦
8.服務器2.88的ftp服務賬號密碼(格式:賬號/密碼)
黑客需要以攻克的1.99來作爲跳板來訪問2.88的ftp服務器,設置過濾器
ftp && ip.src == 192.168.1.99
黑客經過爆破之後拿到密碼123456,用戶名爲administrator
9.黑客成功登陸ftp的時間(格式:10:15:36)
回到上題選中的部分,查看
時間爲14:07:15
10.黑客在ftp中下載的敏感文件名稱是什麼
發現黑客執行了一系列命令,pwd,cwd,pasv,list
並沒有下載敏感數據,移步到第三個數據包
這裏很明顯是下載了/phpstudy/www/config/config_db.php
11.服務器2.88中用戶名爲admin_zz的web後臺管理員的密碼
既然這裏給出用戶名,直接設置過濾器
ip.addr == 192.168.1.99 && http contains "admin_zz"
明顯如斯,密碼爲1q2w3e4r
12.服務器2.88的mysql賬號密碼(格式:賬號/密碼)
這裏也應該是查看黑客下載的敏感文件中的內容,設置過濾器ip.addr == 192.168.1.99 && ftp-data
很明顯啦
con_db_pass = “S1mp13zz”
13.服務器2.88的mysql服務中有和admin有關的三個表,請按照黑客的查詢順序作答,使用空格分隔
根據上題可以發現這個表信息,設置過濾器
ip.addr == 192.168.1.99 && mysql contains "met_"
剛好出現了三個請求三個響應
分別查看信息
met_admin_array,met_admin_column,met_admin_table
14.請列出黑客設置的genreal log的絕對路徑(將路徑複製出來,區分大小寫)
mysql日誌–>設置過濾器
ip.addr == 192.168.1.99 && mysql
發現第一個請求報錯了,報錯返回如上內容,說明這裏黑客希望留一個shell但是這裏報錯了;
但是之後卻沒有報錯,應該是黑客試探的結果,我習慣從後往前找,倒數第二個有發現!
絕對路徑爲c:/phpStudy/WWW/config/config.php
15.路由器的品牌、型號、版本(請直接複製粘貼)
涉及到路由器,設置就過濾器
ip.addr == 192.168.0.1 && http
找了二三四的數據包都沒有,回到第一個數據包,發現
這裏可以發現路由器的相關信息很明顯啦
16.列出路由器的所有IP地址(格式:從小到大,用英文逗號分隔)
還是使用上一步使用的過濾器繼續分析,發現許多重複登錄,應該是黑客在進行爆破
最後到這裏的時候,error_code爲0,此前是700,說明黑客已經爆破成功,這裏需要知道所有路由器的IP地址
只有往下分析黑客的舉動找到信息
這裏發現了路由器IP,總共有三個
192.168.0.1
202.1.1.1
192.168.12.173
17.在路由器的端口監控中,監控端口和被監控端口分別是多少,例,1號端口監控2/3/4號端口:1–>2,3,4
這裏提到監控端口,還是設置過濾器慢慢找
ip.addr == 192.168.0.1 && http &&contains “port”
很明顯了,監控端口是3,被監控是1,2
18.路由器一共有幾個接口?其中有幾個WAN口啓用?有幾個LAN口啓用(格式:用英文逗號分隔)
這裏只能說明一點,有時按順序並不好,因爲在做上面IP那道題的時候我發現有幾個開放的接口信息,叫t_name
直接過濾一下:
哦豁第三個就是,然後發現WAN1、WAN2、LAN1、LAN2這四個接口都打開了,最後這個LAN3接口是關閉的
19.路由器的系統路由表中一共有幾條?第三條的子網掩碼是多少。例: 255 255.255.0則爲24 (格式:用英文逗號分隔)
ip.addr == 192.168.0.1 && http contains "gateway"
這裏路由表一共有5條,第三條子網掩碼爲255.255.255.0
20.路由器的5Gwif名稱是什麼,信道是多少(格式:名稱信道)
設置過濾器
ip.addr == 192.168.0.1 && http contains "5G"
至此完結