题干:
某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题
1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器
2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)
3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)
4 某公司内网网络被黑客渗透,请分析流量,得到黑客上传webshell文件名是,内容是什么,提交webshell内容的base编码
5 某公司内网网络被黑客渗透,请分析流量,黑客在robots.txt中找到的flag是什么
6 某公司内网网络被黑客渗透,请分析流量,黑客找到的数据库密码是多少
7 某公司内网网络被黑客渗透,请分析流量,黑客在数据库中找到的hash_code是什么
8 某公司内网网络被黑客渗透,请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么
9 某公司内网网络被黑客渗透,请分析流量,被黑客攻击的web服务器,网卡配置是是什么,提交网卡内网ip
10 某公司内网网络被黑客渗透,请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)
11某公司内网网络被黑客渗透,请分析流量,黑客获得的vpn的ip是多少
实验步骤:
1.某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器
要寻找扫描器,我们首先要知道使用扫描器可能留下的特征,下面我们列出几种常见的扫描器特征:
awvs:acunetix
netsparker:netsparker
appscan:Appscan
nessus:nessus
sqlmap:sqlmap
根据扫描器的特征,我们可以通过对http,https(也就是黑客常见的可能扫描端口)的流量进行查看,或者通过对上述关键词的搜索,来判断对方使用的扫描器类型。
我们通过关键词来搜索:
http contains "acunetix"
我们明显可以发现对方使用的扫描器是awvs。
2.某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)
通常来说,后台的登录行为多数使用的是POST方法,我们可以通过对POST关键字的查询来查找黑客的登录的后台路径:
http.request.method=="POST"//(注意大小写)
我们对找到的POST方法进行TCP流追踪,看是否有302重定向。
(正常情况下