吐槽

• 有点困了，这大半夜的也不知道能不能分析完这个题目了，写博客感觉还是有一点用的，我至少在学习途中巩固了一下
• 昨天晚上没分析完，思路进坑了，今天继续分析
• 溯源还是得先站在攻击者的角度分析一下，换位思考，先想一下可能的攻击流程再进行溯源分析。昨天晚上我就是没搞清楚攻击者的思路，误以为连接webshell的IP便是攻击IP了

正文

• 目标靶场：
  
• 解题：
  • 下载数据包，使用wires hark打开，先使用统计模块对大致流量有一个确定
    
  • 流量并没有存在特别夸张的数据，需要继续对其进行过滤
  • 重新看回题目，数据库登录记录被删了，说明服务器应该是被攻破然后将数据库登录的记录进行了删除，所以可能会是通过Webshell进行连接，然后删除登录记录，所以此时应该查看其是否上传了webshell或者是否通过Webshell进行文件的操作
    
  • 将这个来源IP提交
    
  • 过了一夜，又看了一下题目描述，所以我觉得攻击者的流程应该如下
  • 攻击者使用真实IP进行攻击，并上传相应的webshell以及执行各种攻击操作
  • 攻击者攻击后，攻击者挂上了代理然后webshell管理工具连接一句话木马，然后对其攻击记录进行删除
  • 因此在数据包中连接一句话木马的IP并不是攻击者的真实IP，而是攻击者挂代理之后的IP，所以需要对其连接一句话木马后的操作进行查看，从而得知攻击者在连接一句话木马后做了何种操作
  • 追踪HTTP流分析数据
    
  • 这里z0是进行base64加密，将其解密查看操作内容
    
  • 这个数据包虽然有操作，但是并没有删除数据库的相关信息，继续查看其它其他数据包
    
  • 这个数据包有两个base64加密（参数：z0，z5），对其进行解码
    
  • 对z5进行base64解码，获取到攻击者删除的IP记录，提交验证
    
  • 验证通过，提交key即可