安恒周周练15（流量分析1~4）——20180902

流量分析1~4）——20180902"/>

安恒周周练15（流量分析1~4）——20180902

题目：
提取码：bp6f

题目描述
某公司内网网络被黑客渗透，简单了解，黑客首先攻击了一台web服务器，破解了后台的账户，随后利用破解的密码登录了mail系统，然后获取了vpn的申请方式，然后登录vpn，在内网pwn掉了一台打印机，请根据提供的流量包回答下列问题：

过程分析：
1、攻击web服务器，获得webshell，拿到了数据库数据
(webshell常常被称为入侵者通过网站端口对网站服务器的某种程度上操作的权限)
2、登录了mail系统，拿到了vpn权限
3、登录vpn攻击主机

问题：
1、黑客使用的是什么扫描器？
①扫描器在请求的url,Headers,Body三项里随机包含了能代表自己的特征信息
②所以利用扫描器指纹库反向查找，过滤命令：http contains “…”
哪一种出现大量数据包，即为哪一种扫描器
（判断扫描器另一思路：正向搜寻流量）
常见扫描器：.html
awvs

2、黑客扫描到的后台登录地址是什么？
一般登录页面都会采用POST请求方式，所以这里以此来进行过滤
过滤命令：http.request.method == “POST”
常见后台登陆地址：
/admin/login.php?rec=login

3、黑客使用了什么账号密码登录了web后台？
①当黑客得到了后台登录的地址后，获得管理员账号的方法：sql注入或爆破口令
②对上一次过滤的流量添加条件，再次进行搜寻，发现有大量的暴破流量
过滤指令：http.request.method==”POST” && http contains “admin”
③一般黑客爆破成功后就会停止，所以找到爆破的最后一条即为黑客登陆的用户名和密码
admin admin!@#pass123

4、黑客上传的webshell文件名是？内容是什么？
文件名：
法一（正向流量查找）：不明白
法二（特征过滤）：通过特征来定位webshell，webshell常见关键字eval，system，assert
过滤指令：http.request.method==”POST” && http conntains “….”
a.php
内容：
黑客第一个传送的参数是1234，传送的内容中包含action参数
所以a.php中应该是包含POST[1234]
过滤语句：tcp contains “POST[1234]”
追踪tcp即找到文件内容

知识点：
上面就是

感谢嗨大佬：