题目描述:
一位ios的安全研究员在家中使用手机联网被黑,不仅被窃密还丢失比特币若干,请你通过流量和日志分析后作答:
10.1黑客所控制的C&C服务器IP是3.128.156.159。
10.2黑客利用的Github开源项目的名字是stowaway。(如有字母请全部使用小写)
10.3通讯加密密钥的明文是hack4sec。
10.4黑客通过SQL盲注拿到了一个敏感数据,内容是746558f3-c841-456b-85d7-d6c0f2edabb2。
10.5黑客端口扫描的扫描器的扫描范围是10-499。(格式使用“开始端口-结束端口”,例如1-65535)
10.6无
10.7黑客访问/攻击了内网的几个服务器,IP地址为172.28.0.2#192.168.1.12。(多个IP之间按从小到大排序,使用#来分隔,例如127.0.0.1#192.168.0.1)
10.8黑客写入了一个webshell,其密码为fxxk。
查看日志,解决10.8黑客写入了一个webshell,其密码为fxxk。
查看流量,导出http对象
把没有用的删除
获取的信息
看样子是下载了个ios_agent
查找ios_agent
解决10.2黑客利用的Github开源项目的名字是stowaway。(如有字母请全部使用小写)
追踪http流
解决10.1黑客所控制的C&C服务器IP是3.128.156.159。
解决10.3通讯加密密钥的明文是hack4sec。
查看端口扫描信息
解决10.5黑客端口扫描的扫描器的扫描范围是10-499。(格式使用“开始端口-结束端口”,例如1-65535)
导入密钥解出加密的流量
有了这些请求sql注入就很好解了
把sql注入的请求抽出来
url解码后
就是一位一位地在爆破password的md5值
解决10.4黑客通过SQL盲注拿到了一个敏感数据,内容是746558f3-c841-456b-85d7-d6c0f2edabb2。
在access.log文件里,黑客在172.28.0.2上传了一个ma.php
在加密流量里,黑客对192.168.1.12进行了sql注入
解决10.7黑客访问/攻击了内网的几个服务器,IP地址为172.28.0.2#192.168.1.12。(多个IP之间按从小到大排序,使用#来分隔,例如127.0.0.1#192.168.0.1)