一、 问题背景
黑客对一个网站管理系统进行了暴力破解,成功获取了管理权限,并下载了重要文件。
二、 问题分析
1, 黑客最终获得了什么用户名
根据问题背景,黑客对一个网站管理系统进行了暴力破解。那么预测是对网站进行密码的穷举破解,既通过不断地向网站发送POST登陆请求,不断尝试字典里的账号密码登陆直到找到正确的网站管理系统账号密码。因此在wireshark中使用过滤字段:
http && http.request.method==POST
删选出数据包中的POST请求,通过对第一个包过滤发现如下:
从上图中可以看出IP地址为219.239.105.18的攻击者不断地向172.16.61.210发送数据,其中在信息栏中显示POST的登陆请求,正如上述的猜测。
打开每个数据项,查看其详细信息如下:
根据上图分析得到,在应用层传输的数据是向主机地址为118.194.196.232发送登录请求,其登陆的完整地址为:
118.194.196.232:8083/index.php?m=admin&c=index&a=login&dosubmit=1
由此可以确定数据包中攻击IP为219.239.105.18,而目标网站服务器的IP为118.194.196.232。
继续分析,首先判断在第一个数据包中黑客是否成功破解目标网站服务器。假设成功,那么肯定是在最后抓取的数据项中才会出现。因此对其数据按照时间进行排序可得下图:
由上图可知最后的访问网址与破解时POST的请求地址不同:
/index.php?m=admin&c=index&a=public_menu_left&menuid=2
通过其地址可以得出黑客已经拿破解除了网站系统的账号密码,并且进入了网站管理系统进行了相关操作。因此通过最后一个登陆包发现其账号密码分别为root和123456,截图如下:
2, 黑客最终获得了什么密码
根据上述分析,黑客最终获取的密码为123456
3, 黑客修改了什么文件?
根据上述的分析,得到攻击者IP为219.239.105.18以及目标服务器的IP为118.194.196.232。分析黑客可能利用HTTP去修改文件。因此建立一下过滤字段:
ip.addr==219.239.105.18&& http
通过对第二个包的分析,可以得到下图所示:
发现最后一个请求里出现文件操作。展开后如图所示:
根据他的请求连接分析得到,他是对模板文件index.html进行了edit_file操作。因此黑客修改了模板index.html文件。
4, 黑客使用菜刀的完整连接地址
根据上述第三个问题的分析,推测黑客可能在修改模板index.html文件时写入了一句话木马。
根据对数据包903的分析,使用过滤关键字:
ip.addr==219.239.105.18&& http
得到如下截图:
攻击机不断向服务器页面index.php?m=search发送POST请求,对每一项进行分析后得到如下所示:
使用了eval()语句执行了一句话功能。因此判断菜刀的链接地址就是:
118.194.196.232:8083/index.php?m=search
5, 黑客使用菜刀的连接密码
根据对上述包的分析,发现如下图所示:
因此判断一句话木马的变量名为chopper,即菜刀使用的连接密码。并且变量的值使用base64加密,对其加密内容进行解密后结果如下:
判断此句话的作用可能是获取该执行脚本的当前路径等其他各种服务器信息。
而紧跟着此数据包后通过服务器向攻击者反馈的信息可以得到如下图所示:
可以看出执行脚本路径为/var/www/html/,服务器类型为LInux等各种信息。
6, 黑客查看的第一个文件目录是什么?
继续接着第五步分析,发现该包中第二个POST请求中构造的base64加密后的指令如下:
其中z0的解密如下:
大致意思为对POST的z1变量进行base64解密,然后赋值给变量$D,之后执行使用opendir函数执行目录查看操作,因此第一次查看的目录即z1解密的内容路径,
z1对应的base64是”L3Zhci93d3cvaHRtbC8=”
对z1进行解密后结果如图:
所以黑客第一次查看的目录为/var/www/html/。