铁人三项赛pacp样本分析

前言

背景提示：黑客对一个网站管理系统进行了暴力破解，成功获取了管理权限，并下载了重要文件。

问题：
（1）黑客最终获得了什么用户名
（2）黑客最终获得了什么密码
（3）黑客修改了什么文件
（4）黑客使用菜刀的完整连接地址

（5）黑客使用菜刀的连接密码

（6）黑客的查看的第一个文件目录是什么

下载地址：https://pan.baidu.com/s/1_hRbABEYq2Yake5vU2yJ9w

分析流程

1、用wireshark打开第一个数据流量包，用"http contains login"可以过滤出登录信息。从登录消息可以看出，登录的IP是219.239.105.18。

2、通过http && http.request.method==POST过滤出post包，查看时间最晚的包中的HTMLFORM可以发现正确的用户名和密码

用户名：root

密码：123456

3.对下一个数据包进行分析。通过http and ip.addr == 219.239.105.18过滤ip。从过滤后的信息中发现其中一个请求中有关于对index.html文件进行了edit_file操作。所以黑客对index.html文件进行了修改。

4.对之后的数据包中同样进行过滤ip的操作。在其中一个包中，发现在post包中有中国菜刀的关键字chopper，并且在后面跟有一句话木马。所以黑客使用菜刀的连接路径是172.16.61.210/index.php?m=search，菜刀的连接密码是z0。

5.在其中一个post包中发现了有一个base加密的字符串z1=L3Zhci93d3cvaHRtbC8=，解压过后的路径是：/var/www/html/，说明黑客查看的第一个目录是经过加密的/var/www/html/。

问题答案：

1.    用户名：root
2.    密码：123456
3.    修改文件：index.html
4.    菜刀的链接地址：172.16.61.210/index.php?m=search
5.    菜刀的连接密码：z0
6.    查看的第一个文件目录：/var/www/html/