前言:小编也是在前几天通过,安恒的资深项目经理讲解(甘老师),老师风趣幽默,讲解生动形象,在他讲解的时候,我就萌生出要把这知识点分享出来,当然这只是为小白开启分析之路,并没有什么高操作,分享的只是我的一些解题思路,并不正规!当然里面知识对小白来说估摸着是够了!(舔个B脸向大家要个赞,来满足自己的虚荣心)
内容较多需要慢慢看!
一 工具准备:
二 题目:
注意:(我用的是一个已经被黑客攻击过的论坛(流量包+日志)需要的找我(QQ:1981927515),前提:需要购买,价格在5-10元)
1.企业论坛公 ip地址是多少/p>
2.企业论坛使用的cms小写全称是什么/p>
3.黑客使用了那款扫描工具对论坛进行扫描/p>
4.黑客在论坛中上传的shell访问密码/p>
5.黑客在论坛服务器使用哪条命令获取到服务器所有存在用户/p>
6.黑客获取到服务器所用的时间/p>
7.黑客在论坛服务器使用哪条命令获取到root账户的hash
8.web根目录的决对路径
9.论坛服务器开发了哪些端口六个
10.黑客是否在内 进行扫描操作/p>
三 解题:
1.企业论坛公 ip地址是多少/p>
答案:118.194.196.232:8084
解析:101.36.79.67 – – [10/Aug/2016:00:31:21 -0700] “GET http://118.194.196.232:8084/discuz/upload/ClientAccessPolicy.xml HTTP/1.1” 404 234在564行找到一个对ip地址发起GET请求,一般在对服务器发起请求才会对ip地址请求。在日志access_log中发现有很多响应为404,这肯定是利用工具进行目录扫描,对应在564行发出的请求ip:101.36.79.67 很有可能就是攻击者的ip地址!
2.企业论坛使用的cms小写全称是什么/p>
答案:discuz
解析:在 站中一般公安备案中,通过powered by来显示cms全称;在wireshark里面通过过滤来搜索powered by:ip.addr ==101.36.79.67 && http matches “(.*powered by” (101.36.79.67 是黑客的ip 后面用的是正侧)
3.黑客使用了那款扫描工具对论坛进行扫描/p>
答案:awvs
解析:有很多扫描器,一般常见的例如:“awvs,appscan”他们的全称(awvs:Acunetix Web Vulnerability Scanner,appscan:IBM Security App Scan Standard)。在wireshark中通过正侧匹配一下常用的扫描器前缀名字: ip.addr ==101.36.79.67 && http matches “(.*acunetix”
4.黑客在论坛中上传的shell访问密码/p>
答案:tom
解析:因为上传sheel里需要有执行函数,例如:eval,用过滤:ip.addr ==101.36.79.67 && http matches “(.*eval”
5.黑客在论坛服务器使用哪条命令获取到服务器所有存在用户/p>
答案:cat /erc/passwd
解析:在linux里查看所有用户,一般在 passwd 或者shadow里 使用过滤:ip.addr ==101.36.79.67 && http matches “(.*passwd”
结束语:“不敢高声语,恐惊天上人”
勇敢牛牛,不怕困难!
加油牛牛!
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!