TypechoJoeTheme

mmzkyl

墨者学院靶场_网络数据分析溯源(攻击者IP)

mmzkyl博主
2021-09-21
/
1 评论
/
174 阅读
/
571 个字
/
百度已收录
09/21
本文最后更新于2021年09月21日,已超过244天没有更新。如果文章内容或图片资源失效,请留言反馈,我会及时处理,谢谢!

吐槽

  • 有点困了,这大半夜的也不知道能不能分析完这个题目了,写博客感觉还是有一点用的,我至少在学习途中巩固了一下
  • 昨天晚上没分析完,思路进坑了,今天继续分析
  • 溯源还是得先站在攻击者的角度分析一下,换位思考,先想一下可能的攻击流程再进行溯源分析。昨天晚上我就是没搞清楚攻击者的思路,误以为连接webshell的IP便是攻击IP了

正文

  • 目标靶场:
  • 解题:
    • 下载数据包,使用wires hark打开,先使用统计模块对大致流量有一个确定
    • 流量并没有存在特别夸张的数据,需要继续对其进行过滤
    • 重新看回题目,数据库登录记录被删了,说明服务器应该是被攻破然后将数据库登录的记录进行了删除,所以可能会是通过Webshell进行连接,然后删除登录记录,所以此时应该查看其是否上传了webshell或者是否通过Webshell进行文件的操作
    • 将这个来源IP提交
    • 过了一夜,又看了一下题目描述,所以我觉得攻击者的流程应该如下
    • 攻击者使用真实IP进行攻击,并上传相应的webshell以及执行各种攻击操作
    • 攻击者攻击后,攻击者挂上了代理然后webshell管理工具连接一句话木马,然后对其攻击记录进行删除
    • 因此在数据包中连接一句话木马的IP并不是攻击者的真实IP,而是攻击者挂代理之后的IP,所以需要对其连接一句话木马后的操作进行查看,从而得知攻击者在连接一句话木马后做了何种操作
    • 追踪HTTP流分析数据
    • 这里z0是进行base64加密,将其解密查看操作内容
    • 这个数据包虽然有操作,但是并没有删除数据库的相关信息,继续查看其它其他数据包
    • 这个数据包有两个base64加密(参数:z0,z5),对其进行解码
    • 对z5进行base64解码,获取到攻击者删除的IP记录,提交验证
    • 验证通过,提交key即可
赞(1)
评论 (1)
  1. ae888 casino 闲逛
    MacOS · Google Chrome

    Thanks for finally writing about >墨者学院靶场_网络数据分析溯源(攻击者IP) - mmzkyl

    2022-05-09 回复

互动读者

  • pmydwqdfs闲逛

    评论 1 次 | 文章 0 篇

  • canon pixma tr4520闲逛

    评论 1 次 | 文章 0 篇

  • playtech slot indonesia闲逛

    评论 1 次 | 文章 0 篇

  • vwbszmzlph闲逛

    评论 1 次 | 文章 0 篇

标签云