Wireshark流量分析例题

1.题目要求：

1.黑客攻击的第一个受害主机的网卡IP地址

2.黑客对URL的哪一个参数实施了SQL注入

3.第一个受害主机网站数据库的表前缀（加上下划线例如abc）

4.第一个受害主机网站数据库的名字

看到题目SQL注入，那就首先过滤http和https协议

过滤后可以看到两个出现次数比较多的ip，202.1.1.2和192.168.1.8，可以看到202.1.1.2对192.168.1.8进行了攻击

 打开一个看一下请求内容

 

发现了get里面有urlcode编码过的内容，拿下来解码看一下

 明显的sql注入行为，那么受害者就是192.168.1.8了

至于为什么不是202.1.1.2，原因是公网和私网的命名规则，所以192.168.1.8是私网，202.1.1.2是经过nat转换的公网地址，所以判断出202.1.1.2是攻击方

2.题目要求：

1.黑客第一次获得的php木马的密码是什么

2.黑客第二次上传php木马是什么时间

3.第二次上传的木马通过HTTP协议中的哪个头传递数据

题目要求php木马的密码，首先我们要知道php一句话木马一般都是POST请求

所以我们直接过滤POST请求，发现这个IP请求了一个名为kkkaaa.php的php文件，很可疑

正常文件不会以此命名的， 打开数据包看一下，发现了这个字段
 

Form item: "zzz" = "@eval(base64_decode($_POST[z0]));"

 

这里他上传的一句话木马应该是

然后又将eval(base64_decode($_POST[z0]));传入zzz参数，目的是将z0传入的数据进行base64的解码，此时z0传入base64编码后的数据，便可以执行恶意代码

第二题是第二次上传木马的时间

此处流量长度较长，比较异常

 第一个包毋庸置疑是会比其他包长一点，但是第四个包很奇怪，和其他包相比长了150多字节左右

追踪tcp流

 这段代码很明显是一段混淆过的代码，但是没关系，看j和N这两个变量就行了

这是利用的create_function这个函数制作的木马，现在已经找到木马，就是这个包

直接看这个包的上传时间

 

 

 

 看到时间为17:20:44.248365

3.题目要求：

1.内网主机的mysql用户名和请求连接的密码hash是多少

2.php代理第一次被使用时最先连接了哪个IP地址

筛选：tcp contains "mysql" && mysql（找tcp中包含mysql且使用mysql协议的包）

发现大量login，证明是爆破行为，内网受害主机位192.168.2.20

 既然破解成功了，那就肯定是最后一个包，直接看最后一个包：

得到用户名和密码的hash

然后过滤http请求，发现名为tunnel.php的php文件

 

 点开可以清晰地看到php代理第一次连接的IP地址是4.2.2.2，端口53 

wireshark的过滤器官方文档6.4. 构建显示过滤器表达式 (wireshark.org)