本文通过对一系列网络流量数据的分析,揭示了一次典型的黑客攻击过程,包括SQL注入、爆破行为、数据库信息泄露、登录后台密码查找、恶意文件上传与执行等。黑客利用SQL注入获取了数据库信息,并尝试登录后台。通过对HTTP响应的深入分析,找到了加密后的密码、马文件以及黑客的IP地址。最后,作者总结了在面对此类攻击时应注意的关键点。
keep learning
正文
链接: https://pan.baidu.com/s/1b6bkW-J8vKASr8C2r9vsdQ 密码: nux4
感谢方方土学长的题解,学习到了一定的套路
题目描述
1.黑客攻击的第一个受害主机的网卡IP地址
2.黑客对URL的哪一个参数实施了SQL注入
3.第一个受害主机网站数据库的表前缀(加上下划线 例如abc_)
4.第一个受害主机网站数据库的名字
5.Joomla后台管理员的密码是多少
6.黑客第一次获得的php木马的密码是什么
7.黑客第二次上传php木马是什么时间
8.第二次上传的木马通过HTTP协议中的哪个头传递数据
9.内网主机的mysql用户名和请求连接的密码hash是多少(用户:密码hash)
10.php代理第一次被使用时最先连接了哪个IP地址
11.黑客第一次获取到当前目录下的文件列表的漏洞利用请求发生在什么时候
12.黑客在内网主机中添加的用户名和密码是多少
13.黑客从内网服务器中下载下来的文件名先看看这些包都是按时间顺序命名的
先打开第一个包
一般黑客攻击先从应用层发起攻击,所以先过滤http看一下
发现ip为202.1.1.2对192.168.1.8有很明显的爆破痕迹,把里面的url的内容urldecode一下会发现明显的sql查询语句,而且有很明显sqlmap指纹痕迹
所以就解决了受害主机ip是192.168.1.8
我们再详细过滤一下
http and ip.src == 202.1.1.2可以得到比较详细的爆破过程,标记一下最后一个,然后返回http查看他的response
很明显了,注入的参数是list[select],并且应该是使用了报错注入
<!DOCTYPE html>\n
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en-gb" lang="en-gb" dir="ltr">\n
<head>\n
\t<meta http-equiv="content-type" content="text/html; charset=utf-8" />\n
[truncated]\t<title>Error: 500 XPATH syntax error: 'qqzvqadminqqkkq' SQL=SELECT (UPDATEXML(6315,CONCAT(0x2e,0x71717a7671,(SELECT MID((IFNULL(CAST(username AS CHAR),0x20)),1,22) FROM joomla.ajtuc_users ORDER BY id LIMIT 0,1),0x71
FROM `ajtuc_ucm_history` AS h\n
LEFT JOIN ajtuc_users AS uc ON uc.id = h.editor_user_id\n
而且还可以从响应里面发现是从joomla.ajtuc_users表里面注入的东西,也知道了前缀为ajtuc,同时也知道了数据库为joomla。第三四题解决
然后要找登录后台的密码,但是这里直接contains "password"是找不到的,我们这时候就得转换思路就是说黑客是从数据库里把密码爆出来的
如果仔细看这个黑客的行为的话,他事先尝试登录发现不行才用的SQL注入,所以也就跟着这个思路来走了
既然报错注入,里面必含有password的关键字以及表名,立即过滤
ip.src == 202.1.1.2 and http contains "password" and http contains "joomla.ajtuc_users"
发现有三条,标记一下查看他们的response
Status: 500 XPATH syntax error: 'qqzvq$2y$1
最低0.47元/天 解锁文章
扫一扫
1432
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
