如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)

其他

案例

知识

随笔

声音

编者按

书接上文,此为第二部分:流量分析与黑客攻击

第二部分:流量分析与黑客攻击
13.通过对流量包attack进行分析,该数据流量包的sha1的是多少?(格式填写小写字母与数字组合 如abc23dedf445) (5分)
用wireshark打开流量包,“统计”-“捕获文件属性”。

答案:
7f66df0b59bb5d633a1cb3dbe7acfbb7455458cc。
14.通过对流量包attack进行分析,捕获第一个数据报文的时间是?(格式按年-月-日 填写 如:yyyy-mm-dd 如2000-01-23) (10分)

答案:2018-08-08。
15.通过对流量包attack进行分析,捕获流量包时使用的接口数量(格式填写数字 如:10) (5分)

答案:1。
16.通过对流量包attack进行分析,获取被攻击的服务IP是多少?(格式数字与.组合填写 如:10.10.1.1) (5分)
题目没有说明攻击的类型,而常见的攻击主要分为流量攻击和漏洞利用等几种类型。为了便于我们推测攻击手法,可以先查看流量较大的几个IP,wireshark里点击”统计”-“conversation”。

确定流量较大的IP后,我们需要进一步推测这些IP是基于什么协议发起的。点击“统计”-“协议分级”,从协议的高低层次进行排查,发现HTTP层协议较多。

过滤器中输入“http”,存在大量404状态码,推测被某扫描器进行漏洞扫描。根据服务端找到IP192.168.32.189。

答案:192.168.32.189。
17.通过对流量包attack进行分析,得知攻击者IP是多少?(格式数字与.组合填写 如:10.10.1.1) (5分)
方法如上,根据请求端找到攻击者IP192.168.94.59。
答案:192.168.94.59。
18.通过对流量包attack进行分析,得知黑客使用的扫描器是?(5分)
过滤器里设置规则:http.request && ip.addr == 192.168.94.59 ,将来自192.168.94.59的HTTP请求包过滤出来,然后逐一排查相关数据包,发现相关HTTP协议中被注入扫描器的包头,根据特征推断是awvs。

答案:AWVS。
19.通过对流量包attack进行分析,得到黑客对服务器网站扫描到的登录后台是:(格式填写相对路径 ,使用小写字母、 / 和其他字符组合 如:/www/wwwroot) (10分)

答案:/admin/login.php
20.通过对流量包attack进行分析,得到其人事登录网站服务器的密码是?(格式填写字母与数字组合 如:abc123) (5分)
经过对前面登录流量包的分析可知,登录入口在/admin/login.php中,于是在过滤器中输入规则:http.request.uri contains “admin/login” ,倒着梳理登录HTTP包,发现最后一个就是人事的密码。比较坑的是,由于“人事”被url编码,无法通过搜索功能查找,当然大家可以尝试将相关关键字url编码,然后查找流量包中包含该url编码的数据。

答案:hr123456。
21.通过对流量包attack进行分析,得知黑客使用什么账号密码进行登录网站后台?(格式填写小写字母 、数字、 / 、其它字符组合 如:username/password) (10分)
这里提一个小技巧,根据服务器的状态码来判断登录结果。众所周知,状态码302为重定向、200为请求成功、404为资源不存在、403为目录权限导致不能列出等,因此我们可以通过状态码来判断是否登录成功。
过滤器中输入规则:http.response.code == 302 ,这时候发现倒数第二个登录包重定向到了管理员首页(倒数第一个是上一题),因此我们需要追溯该回复包的请求包中的账号密码即可。

选中该数据包,右击“追踪流”-“tcp流”。该选项可以将该数据包的“上下文”通过右下角的“流”展示出来,当然“HTTP流”则是仅展示HTTP层协议的请求与回显,没有查看上下文的功能。

提取密码并进行url解码。在Notepad++选中该密码,“插件”-“MIME Tools”-“URL Decode”将url解码,得到admin的登录密码:admin!@#pass123。

答案:admin/admin!@#pass123。
22.通过对流量包attack进行分析,得到黑客第一次上传的webshell文件名是什么?(格式填写小写字母、数字、 .组合 如:user.js或者user.php ) (5分)
这里仍通过过滤POST包来查找webshell,发现客户端疑似对webshell(a.php)进行操作,且服务器有相关响应,因此推断webshell为a.php。当然对于该webshell怎么产生的,本人并没有梳理出来。

答案:a.php。
23.接着上题分析,黑客上传的内容是什么?(格式填写数字 如:123456) (5分)
这道题实际上是变相在提问一句话密码。
答案:1234。
24.通过对流量包attack进行分析,黑客在robots.txt中找到的flag是什么?(格式填写小写字母与数字组合 如:ab6767gdgd9870) (5分)
过滤器输入规则:http,在海量HTTP包里搜索关键字robots.txt,接着查看上下文来查找flag内容。

也可以过滤器中输入:http.request.uri contains robots.txt ,将所有请求robots.txt的客户端筛选出来,接着通过TCP流功能来追溯服务器响应内容。

答案:
87b7cb79481f317bde90c116cf36084b。
25.通过对流量包attack进行分析,捕获这些数据报文的一共时间是?(格式 按小时:分:秒 填写 如:hh:mm:ss 如00:01:23) (5分)
此题与前面几道题做法一致,不再赘述。

答案:02:16:22。
26.通过对流量包attack进行分析,HTTP Request Packets占总的HTTP Packets百分比多少?(格式填写数字、. % 组合 如:11.11% 百分比保留小数点后二位) (5分)
Wireshark里点击“统计”-“HTTP”-“分组计数器”,统计结果为52.39%。

答案:52.39%。
27.通过对流量包attack进行分析,已提取出黑客之前曾经从数据库服务器盗取的数据文件hack.jpg,对其分析,得知该文件一共包含几个数据表?(格式填写数字 如:1) (10分)
此题的坑在于,让人误以为分析中国菜刀脱裤操作过程中的流量包,实则是一道隐写题。使用binwalk -e HACK.jpg命令将图片中的压缩包提取出来,解压得到一个SQL文件,导入到本地MySQL完成还原再查看数据表即可。

答案:8个。
28.接上题customername为Singal Gift Stores的电话号码为?(格式填写数字 如:1112222222) (5分)
在navicat里搜索关键字即可,比较坑的是客户的名字拼错了…需要换个关键字。

答案:7025551838。

暂无评论

发表评论

您的电子邮件地址不会被公开,必填项已用*标注。

相关推荐

Windows主机入侵痕迹排查办法

一、排查思路 在攻防演练保障期间,一线工程师在实施主机入侵痕迹排查服务时可能面临时间紧、任务急、需要排查的主机数量众 …

微信扫一扫,分享到朋友圈

如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)