前言
背景提示:黑客对一个网站管理系统进行了暴力破解,成功获取了管理权限,并下载了重要文件。
问题:(1)黑客最终获得了什么用户名
(2)黑客最终获得了什么密码
(3)黑客修改了什么文件
(4)黑客使用菜刀的完整连接地址
(5)黑客使用菜刀的连接密码
(6)黑客的查看的第一个文件目录是什么
下载地址:https://pan.baidu.com/s/1_hRbABEYq2Yake5vU2yJ9w
分析流程
1、用wireshark打开第一个数据流量包,用"http contains login"可以过滤出登录信息。从登录消息可以看出,登录的IP是219.239.105.18。
2、通过http && http.request.method==POST过滤出post包,查看时间最晚的包中的HTMLFORM可以发现正确的用户名和密码
用户名:root
密码:123456
3.对下一个数据包进行分析。通过http and ip.addr == 219.239.105.18过滤ip。从过滤后的信息中发现其中一个请求中有关于对index.html文件进行了edit_file操作。所以黑客对index.html文件进行了修改。
4.对之后的数据包中同样进行过滤ip的操作。在其中一个包中,发现在post包中有中国菜刀的关键字chopper,并且在后面跟有一句话木马。所以黑客使用菜刀的连接路径是172.16.61.210/index.php?m=search,菜刀的连接密码是z0。
5.在其中一个post包中发现了有一个base加密的字符串z1=L3Zhci93d3cvaHRtbC8=,解压过后的路径是:/var/www/html/,说明黑客查看的第一个目录是经过加密的/var/www/html/。
问题答案:
1. 用户名:root
2. 密码:123456
3. 修改文件:index.html
4. 菜刀的链接地址:172.16.61.210/index.php?m=search
5. 菜刀的连接密码:z0
6. 查看的第一个文件目录:/var/www/html/