Wireshark之流量包分析+日志分析 （护网：蓝队）web安全 取证 分析黑客攻击流程（下篇）

前言：咦！确实让我想不到的是，这几天有不少的人催我更新分析的下篇！我以为这像便秘的粑粑，又臭又长没人看！但出乎意料，这不我加班加点就来满足你们咯！所以你懂的（悄悄告诉你：“点赞”）确实我也觉得这篇能学习到很多知识点，比如：知晓黑客攻击的流程手段，我们可以什么点来防范，采集等。来自安恒的资深项目经理讲解（甘老师）对我的谆谆教诲！(此篇只是自己的解题思路，如有问题，请轻言细语的指出来！感谢！)

本篇是下篇，讲解题目6-10题，如有需要请回顾上篇！

一 回顾题目：

注意：（我用的是一个已经被黑客攻击过的论坛（流量包+日志）需要的联系我（QQ：1981927515），前提：需要购买，价格在5-10元）

        1.企业论坛公网ip地址是多少？

        2.企业论坛使用的cms小写全称是什么？

        3.黑客使用了那款扫描工具对论坛进行扫描？

        4.黑客在论坛中上传的shell访问密码？

        5.黑客在论坛服务器使用哪条命令获取到服务器所有存在用户？

        6.黑客获取到服务器所用的时间？

        7.黑客在论坛服务器使用哪条命令获取到root账户的hash

        8.web根目录的决对路径

        9.论坛服务器开发了哪些端口？共六个

        10.黑客是否在内网进行扫描操作？

二 解题：

        6.黑客获取到服务器所用的时间？

        ps：这道题好像做的有点问题！没深究

        答案：7点36分

        来源：数据采集D_eth0_NS_20160810_153508中223357行

        解析：因为是查找时间，直接过滤date，找到进入root的数据：

  ip.addr ==101.36.79.67 && http matches "(.*?)date"        

        7.黑客在论坛服务器使用哪条命令获取到root账户的hash

        答案：cat /etc/shadow.swp

        来源：数据采集D_eth0_NS_20160810_153554中244993行

       解析：因为获取root的hash所有直接过滤root：ip.addr ==101.36.79.67 && http matches "(.*?)root"，追踪http，看见bs64，直接解码

        8.web根目录的决对路径

        答案：/home/wwwroot/

        来源：数据采集D_eth0_NS_20160810_153508中23357行

        解析：因为是根目录，想着与root有关，直接过滤root，然后在看数据中，看到wwwroot这一般是存放根目录的地方  过滤：ip.addr ==101.36.79.67 && http matches "(.*?)root"

        9.论坛服务器开发了哪些端口？共六个

        答案：22  25  199  631  3306   38580

        来源：数据采集D_eth0_NS_20160810_153943第363529行

        解析：端口proto 直接过滤proto  ip.addr ==101.36.79.67 && http matches "(.*?)proto"

        10.黑客是否在内网进行扫描操作？

        答案：是

        来源：日志中的bash_history  倒数第三行

        解析：bash_history用于储存用户的操作，使用了nmap 172.16.60.0/24扫描内网

结束语：针对这一次的分析我总结了几点：1）电脑配置一定要高一些，为了方便我把所有流量包全部打开，挨个过滤查看！但我电脑配置不高，有些卡！2）细心+耐心 需要慢慢的去找，去过滤 3）需要一定的知识基础，像我为什么就直接去过滤root，proto等，需要对linux有一些的基础认识！4）熟悉过滤规则！过滤还有其他方式方法

钟鼓馔玉不足贵，但愿长醉不复醒。