Wireshark流量分析例题

1.题目要求:

1.黑客攻击的第一个受害主机的网卡IP地址

2.黑客对URL的哪一个参数实施了SQL注入

3.第一个受害主机网站数据库的表前缀(加上下划线例如abc

4.第一个受害主机网站数据库的名字

看到题目SQL注入,那就首先过滤http和https协议

过滤后可以看到两个出现次数比较多的ip,202.1.1.2和192.168.1.8,可以看到202.1.1.2对192.168.1.8进行了攻击

Wireshark流量分析例题_第1张图片

 打开一个看一下请求内容

Wireshark流量分析例题_第2张图片

 

发现了get里面有urlcode编码过的内容,拿下来解码看一下

Wireshark流量分析例题_第3张图片

 明显的sql注入行为,那么受害者就是192.168.1.8了

至于为什么不是202.1.1.2,原因是公网和私网的命名规则,所以192.168.1.8是私网,202.1.1.2是经过nat转换的公网地址,所以判断出202.1.1.2是攻击方

2.题目要求:

1.黑客第一次获得的php木马的密码是什么

2.黑客第二次上传php木马是什么时间

3.第二次上传的木马通过HTTP协议中的哪个头传递数据

题目要求php木马的密码,首先我们要知道php一句话木马一般都是POST请求

所以我们直接过滤POST请求,发现这个IP请求了一个名为kkkaaa.php的php文件,很可疑

正常文件不会以此命名的, 打开数据包看一下,发现了这个字段
 

Form item: "zzz" = "@eval(base64_decode($_POST[z0]));"

Wireshark流量分析例题_第4张图片

 

这里他上传的一句话木马应该是


然后又将eval(base64_decode($_POST[z0]));传入zzz参数,目的是将z0传入的数据进行base64的解码,此时z0传入base64编码后的数据,便可以执行恶意代码

第二题是第二次上传木马的时间

此处流量长度较长,比较异常

 第一个包毋庸置疑是会比其他包长一点,但是第四个包很奇怪,和其他包相比长了150多字节左右

追踪tcp流

Wireshark流量分析例题_第5张图片

 这段代码很明显是一段混淆过的代码,但是没关系,看j和N这两个变量就行了

这是利用的create_function这个函数制作的木马,现在已经找到木马,就是这个包

直接看这个包的上传时间

 Wireshark流量分析例题_第6张图片

 

 Wireshark流量分析例题_第7张图片

 看到时间为17:20:44.248365

3.题目要求:

1.内网主机的mysql用户名和请求连接的密码hash是多少

2.php代理第一次被使用时最先连接了哪个IP地址

筛选:tcp contains "mysql" && mysql(找tcp中包含mysql且使用mysql协议的包)

发现大量login,证明是爆破行为,内网受害主机位192.168.2.20

Wireshark流量分析例题_第8张图片

 既然破解成功了,那就肯定是最后一个包,直接看最后一个包:

得到用户名和密码的hash

然后过滤http请求,发现名为tunnel.php的php文件

 Wireshark流量分析例题_第9张图片

 点开可以清晰地看到php代理第一次连接的IP地址是4.2.2.2,端口53 

Wireshark流量分析例题_第10张图片

wireshark的过滤器官方文档6.4. 构建显示过滤器表达式 (wireshark.org)

你可能感兴趣的:(wireshark,网络,测试工具)