流量分析实践

下载附件使用wireshark打开，发现数据包非常多，一共有1万多条数据，我们点击分析来看一下协议分级

然后我们再来看一下会话，看有哪些ip地址，

我们通过会话结合大部分的流量发现，172.17.0.1一直在请求172.17.0.2这个ip地址，判断出来攻击者的ip地址为172.17.0.1 flag1：172.17.0.21

flag2为登录后台的管理地址，我们可以想到百分之90的登录后台一定有一个login的字符，我们通过http contains “login”来筛选流量，找到登录的管理后台地址为：/admin/login.php

flag2：/admin/login.php

flag2要求是找到网站数据库，我们通过http.request.method==POST可以看到很多很多的流量包，并且都是在输入用户名和密码，可以判断攻击者实在爆破，源ip是172.17.0.1，我们仔细观察可以发现流量包中的数据都是831到832的长度，但是往后看，有其他范围的长度了

比如如下的这个1000多的长度，我们去追踪流发现实在进行sql注入

既然是sql注入我们可以去通过筛选sql语句来找到，sql注入的数据库，我们筛选infor来看看，只是筛选出来了一个数据

通过追踪流，解码URL

发现并不是我们想要的database名字，这里是通过sql来执行了一个命令，然后我们重新筛选数据，再最后的几个流量中找到了数据库的名字，但这个是十六进制数据，我们通过随波逐流，或者010来转换为字符，得到flag3：beescmss

flag4为网站后台管理员的登录hash， 我们直接接着上一步筛选http的请求，最后发现有一个a.php发现很可疑，追踪流，然后找到了hash为f0d123bf4cccb5c9b8dbbcf532fd8cc0

flag3：f0d123bf4cccb5c9b8dbbcf532fd8cc0 flag4为黑客登陆后台使用的漏洞和payload我们继续排查，筛选302的数据包，302的数据包是跳转的数据包，然后我们在最后一条数据包中找到了一个登录成功的页面

然后我们筛选http，找到了如下的流量

当访问admin.php的时候是跳转到了POST的后台的，我们分析上面的数据包，看到这里通过POST来访问了一个根目录，其中看出来是会话覆盖，这里覆盖的是1，1就是管理员用户，并且时间是永不超时

flag4：session变量覆盖漏洞，然后payload就是要看根目录了，追踪流看到payload为：_SESSION[login_in]=1&_SESSION[admin]=1&_SESSION[login_time]=99999999999

flag5黑客通过什么web攻击方法获取权限 继续分析流量包，发现有一个upload，对于upload通常是用来上传文件的，我们追踪流看一下，

在流13770中有一个木马，绕过方式就是GIF89A文件幻写头的方式

202005081648075663.php 然后我们看以下后续的请求，通过get请求访问了以下，然后post进行连接了

可以通过解码加密的流量来看黑客进行了什么样的操作

到此我们可以知道flag5：文件上传，黑客通过文件上传来获取了权限， 然后flag6，webshell是：202005081648075663.php、 flag7上传接收到的参数是fff，还有cmd还有lang，也就是木马的密码，命令执行使用的变量名 flag8的这个黑客ip地址是在最后一条流量中，是120.79.139.46

然后我们还可以发现，这里有一个特别长的流量

我们还需要继续排查，这里这个index.php也是一个木马文件，在13522这个报中有一个很长的值，我们解码发现是一个篡改网页的base64加密的php代码

如下看出分别接收参数cmd和lang