用wireshark流量分析的四个案例

目录

第一题

1

2

3

4

第二题

1

2

3.

第三题

1

2

第四题

1

2

3


第一题

题目:

1.黑客攻击的第一个受害主机的网卡IP地址

2.黑客对URL的哪一个参数实施了SQL注入

3.第一个受害主机网站数据库的表前缀(加上下划线例如abc

4.第一个受害主机网站数据库的名字

1

打开流量包,直接筛选http || tls找网络传输协议,发现192.168.1.8大量出现,所以直接筛选该Ip

找到不正常的浏览器返回500

打开一个看下请求内容:

发现了get里面有urlcode编码过的内容,拿下来解码看看:

 明显的sql注入行为,那么受害者就是192.168.1.8了

至于为什么不是202.1.1.2,原因是公网和私网的命名规则,所以192.168.1.8是私网,202.1.1.2是经过nat转换的公网地址,所以判断出202.1.1.2是攻击方

顺便可以看到攻击用的扫描器是sqlmap(User-Agent是可以修改的)

2

直接看URL得出是list这个参数

3

追踪一下tcp流可以发现存在报错注入,然后得出数据库前缀为:ajtuc_

4

这个比较麻烦,需要再稍微靠后的地方找get参数中有没有库名

前面已经知道黑客的Ip了,直接筛选(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http

然后再靠后的地方找

最后找到库名是joomla

第二题

题目:

1.黑客第一次获得的php木马的密码是什么

2.黑客第二次上传php木马是什么时间

3.第二次上传的木马通过HTTP协议中的哪个头传递数据

1

根据第一题获取的ip直接筛选(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http

同样打开一个包看下:

 这里的zzz明显是用decode解码了一个z0的base64编码,然后用eval执行的,

看下z0解码后的:

解密出了一个php代码,发现一句话后门

那么zzz这个参数就是shell的密码了

2

要找第二个木马,那就看PSOT提交方式有没有线索:

筛选:(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http.request.method == POST

发现一个文件的大小异常,有900多。直接追踪tcp流量

发现被base64加密的代码:

 把它解码:

用vscode打开看看这串代码:

 这段代码很明显是一段混淆过的代码,但是没关系,看j和N这两个变量就行了

这是利用的create_function这个函数制作的木马,现在已经找到木马,就是这个包

直接看这个包的上传时间

看到时间为17:20:44.248365

3.

再随便点开一个包看看

 发现Referer异常,而language正常,所以判断为Referer。

第三题

题目:

1.内网主机的mysql用户名和请求连接的密码hash是多少

2.php代理第一次被使用时最先连接了哪个IP地址

1

直接筛选:tcp contains "mysql" && mysql(找tcp中包含mysql且使用mysql协议的包)

发现大量login,证明是爆破行为,内网受害主机位192.168.2.20

既然破解成功了,那就肯定是最后一个包,直接看最后一个包:

得到用户名和密码的hash

2

根据1得到内网主机Ip,直接筛选:(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http

能看到,代理是用POST,所以我们就过滤出POST

(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http.request.method==POST && http

打开第一个有tunnel.php的包看到代理Ip:4.2.2.2

第四题

题目:

1.黑客第一次获取到当前目录下的文件列表的漏洞利用请求发生在什么时候

2.黑客在内网主机中添加的用户名和密码是多少

3.黑客从内网服务器中下载下来的文件名

1

目录的话关键词就是dir或者ls,所以筛选器:

(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && (http contains "dir" || http contains "ls")

分别发现一条,直接追踪tcp流

 ls没有收获,dir发现了:

 这个包的时间是:18:37:38.482420

2

ip.addr == 192.168.2.20 && http发现一个后门sh.php

 用ip.src == 192.168.2.20 && http

在这个包看到一条net user,是windows查看、添加当前用户的命令

 现在精确筛选一下:

(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && (http contains "user" || http contains "Administrator")

找到用户名了

根据不存在这个用户和存在后的这段时间确定到四个post,挨个查看:

找到base64编码的值,解码得出:

所以用户名密码均为kaka

3

由于木马是POST,又是下载文件,所以直接过滤POST请求:

ip.dst == 192.168.2.20 && http.request.method==POST

直接倒最后的包看到编码:

直接解码:

 可以得出,下载的文件为lsass.exe_180208_185247.dmp

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/112069.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

2024毕业设计选题指南【附选题大全】

title: 毕业设计选题指南 - 如何选择合适的毕业设计题目 date: 2023-08-29 categories: 毕业设计 tags: 选题指南, 毕业设计, 毕业论文, 毕业项目 - 如何选择合适的毕业设计题目 当我们站在大学生活的十字路口,毕业设计便成了我们面临的一项重要使命。这不仅是对我们…

文本编辑器Vim常用操作和技巧

文章目录 1. Vim常用操作1.1 Vim简介1.2 Vim工作模式1.3 插入命令1.4 定位命令1.5 删除命令1.6 复制和剪切命令1.7 替换和取消命令1.8 搜索和搜索替换命令1.9 保存和退出命令 2. Vim使用技巧 1. Vim常用操作 1.1 Vim简介 Vim是一个功能强大的全屏幕文本编辑器,是L…

计算机竞赛 基于机器视觉的手势检测和识别算法

0 前言 🔥 优质竞赛项目系列,今天要分享的是 基于深度学习的手势检测与识别算法 该项目较为新颖,适合作为竞赛课题方向,学长非常推荐! 🧿 更多资料, 项目分享: https://gitee.com/dancheng…

今天学了二叉树的前序,中序和后序遍历oier

同时了解一些趣图笑死我了 所以想入门先入坟,这是最好的礼物。 废话说多了,谈谈正事,我们了解到二叉树有节点和边权;分为有向和无向图;这里如果我们需要搜索一下每一个节点的情况,所以就需要这个遍历了 1…

前端vue2、vue3去掉url路由“ # ”号——nginx配置

文章目录 ⭐前言⭐vue2中router默认出现#号💖在vue2项目中去掉💖在vue3项目中去掉 ⭐vue打包 assetsPublicPath base 为绝对路径 /💖vue2 配置 assetsPublicPath💖vue3 配置 base💖验证 ⭐nginx 配置💖 使用…

Leetcode Top 100 Liked Questions(序号105~139)

105. Construct Binary Tree from Preorder and Inorder Traversal105. Construct Binary Tree from Preorder and Inorder Traversal 题意:根据前序遍历和中序遍历来构造二叉树 我的思路 要用递归造树,要同时递归左子树和右子树,造树需要…

C语言每日一练-----Day(4)

本专栏为c语言练习专栏,适合刚刚学完c语言的初学者。本专栏每天会不定时更新,通过每天练习,进一步对c语言的重难点知识进行更深入的学习。 今日练习题关键字:记负均正    旋转数组的最小数字    二分查找 💓博主…

剑指offer(C++)-JZ29:顺时针打印矩阵(算法-模拟)

作者:翟天保Steven 版权声明:著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处 题目描述: 输入一个矩阵,按照从外向里以顺时针的顺序依次打印出每一个数字,例如,…

element Collapse 折叠面板 绑定事件

1. 点击面板触发事件 change <el-collapse accordion v-model"activeNames" change"handleChange"><el-collapse-item title"一致性 Consistency"><div>与现实生活一致&#xff1a;与现实生活的流程、逻辑保持一致&#xff0c…

使用Python构建网络爬虫:提取网页内容和图片资源

网络爬虫是一种自动获取网页内容的程序&#xff0c;它可以帮助我们高效地收集网络上的有价值信息。本文将介绍如何使用Python构建网络爬虫&#xff0c;提取网页内容和图片资源。   一、环境准备   1.安装Python环境   首先&#xff0c;确保您已经安装了Python环境。访问P…

2021年06月 C/C++(五级)真题解析#中国电子学会#全国青少年软件编程等级考试

第1题&#xff1a;数字变换 给定一个包含5个数字&#xff08;0-9&#xff09;的字符串&#xff0c;例如 “02943”&#xff0c;请将“12345”变换到它。 你可以采取3种操作进行变换 &#xff08;1&#xff09;交换相邻的两个数字 &#xff08;2&#xff09;将一个数字加1。如果…

Qt应用开发(基础篇)——进度条 QProgressBar

一、前言 QProgressBar类继承于QWidget&#xff0c;是一个提供了横向或者纵向进度条的小部件。 QProgressBar进度条一般用来显示用户某操作的进度&#xff0c;比如烧录、导入、导出、下发、上传、加载等这些需要耗时和分包的概念&#xff0c;让用户知道程序还在正常的执行中。 …

Git操作

Git 操作方法 Git 是一个分布式版本控制系统&#xff0c;用于管理项目的源代码。 gitee新建仓库提示如下 具体介绍看下面 1. 创建仓库 初始化本地仓库 使用以下命令在本地目录中初始化一个新的 Git 仓库&#xff1a; git init克隆远程仓库 使用以下命令克隆一个远程仓库…

java自动登录 selenium 自动登录并获取cookie

选择操作网页 我用的edge&#xff0c;谷歌我的版本太高没有对应的驱动… 下载Edge的驱动程序&#xff0c;直接解压就好里面只有一个.exe文件 https://developer.microsoft.com/en-us/microsoft-edge/tools/webdriver/ 复制即用&#xff0c;看注释 import com.alibaba.fastjs…

我们的第一个 Qt 窗口程序

Qt 入门实战教程&#xff08;目录&#xff09; Windows Qt 5.12.10下载与安装 为何使用Qt Creator开发QT 本文介绍用Qt自带的集成开发工具Qt Creator创建Qt默认的窗口程序。 本文不需要你另外安装Visual Studio 2022这样的集成开发环境&#xff0c;也不需要你再在Visual St…

Redis.conf 配置文件详解

1、units 单位 配置大小单位&#xff0c;开头定义了一些基本的度量单位&#xff0c;只支持 bytes&#xff0c;不支持bit&#xff0c;并且对大小写 不敏感。 2、INCLUDES 包含 类似于 Spring 配置文件&#xff0c;可以通过 includes 包含&#xff0c;redis.conf 可以作为总文件…

JVM运行时数据区

文章目录 JVM内存结构图1、运行时数据区域JDK 1.7JDK 1.81. 线程栈&#xff08;虚拟机栈&#xff09;2. 本地方法栈3. 程序计数器4. 方法区&#xff08;元空间&#xff09;5. 堆6、运行时常量池&#xff08;Runtime Constant Pool&#xff09;7、直接内存&#xff08;Direct Me…

QOpenGLWidget绘制实时图像

initializeGL()函数&#xff1a; initializeOpenGLFunctions();//创建VBO和VAO对象&#xff0c;并赋予IDglGenVertexArrays(1, &VAO);glGenBuffers(1, &VBO);//绑定VBO和VAO对象glBindVertexArray(VAO);glBindBuffer(GL_ARRAY_BUFFER, VBO);//为当前绑定到target的缓冲…

如何将Word中的中文数字转化为阿拉伯数字

例如这种情况&#xff1a; 需要把这些汉字数字改为阿拉伯数字。 步骤1&#xff1a;在任意位置输入“第章”&#xff0c;然后把光标放到“第”和“章”的中间&#xff0c;然后ctrlf9插入域&#xff0c;在域里面输入 autonum&#xff0c;然后按altf9 显示域值。 按下altF9后 第 …

MySQL怎样删除重复数据,只保留一条?

在实际工作开发过程中&#xff0c;常常会遇到数据库表中存在多条数据重复了&#xff0c;此时我们需要删除重复数据&#xff0c;只保留其中一条有效的数据&#xff1b; 针对这种场景&#xff0c;我们用SQL语句该怎么实现呢&#xff1f; 数据准备 建表语句&#xff1a; DROP …