一、 問題背景
黑客對一個網站管理系統進行了暴力破解,成功獲取了管理權限,並下載了重要文件。
二、 問題分析
1, 黑客最終獲得了什么用戶名
根據問題背景,黑客對一個網站管理系統進行了暴力破解。那么預測是對網站進行密碼的窮舉破解,既通過不斷地向網站發送POST登陸請求,不斷嘗試字典里的賬號密碼登陸直到找到正確的網站管理系統賬號密碼。因此在wireshark中使用過濾字段:
http && http.request.method==POST
刪選出數據包中的POST請求,通過對第一個包過濾發現如下:
從上圖中可以看出IP地址為219.239.105.18的攻擊者不斷地向172.16.61.210發送數據,其中在信息欄中顯示POST的登陸請求,正如上述的猜測。
打開每個數據項,查看其詳細信息如下:
根據上圖分析得到,在應用層傳輸的數據是向主機地址為118.194.196.232發送登錄請求,其登陸的完整地址為:
118.194.196.232:8083/index.php?m=admin&c=index&a=login&dosubmit=1
由此可以確定數據包中攻擊IP為219.239.105.18,而目標網站服務器的IP為118.194.196.232。
繼續分析,首先判斷在第一個數據包中黑客是否成功破解目標網站服務器。假設成功,那么肯定是在最后抓取的數據項中才會出現。因此對其數據按照時間進行排序可得下圖:
由上圖可知最后的訪問網址與破解時POST的請求地址不同:
/index.php?m=admin&c=index&a=public_menu_left&menuid=2
通過其地址可以得出黑客已經拿破解除了網站系統的賬號密碼,並且進入了網站管理系統進行了相關操作。因此通過最后一個登陸包發現其賬號密碼分別為root和123456,截圖如下:
2, 黑客最終獲得了什么密碼
根據上述分析,黑客最終獲取的密碼為123456
3, 黑客修改了什么文件?
根據上述的分析,得到攻擊者IP為219.239.105.18以及目標服務器的IP為118.194.196.232。分析黑客可能利用HTTP去修改文件。因此建立一下過濾字段:
ip.addr==219.239.105.18&& http
通過對第二個包的分析,可以得到下圖所示:
發現最后一個請求里出現文件操作。展開后如圖所示:
根據他的請求連接分析得到,他是對模板文件index.html進行了edit_file操作。因此黑客修改了模板index.html文件。
4, 黑客使用菜刀的完整連接地址
根據上述第三個問題的分析,推測黑客可能在修改模板index.html文件時寫入了一句話木馬。
根據對數據包903的分析,使用過濾關鍵字:
ip.addr==219.239.105.18&& http
得到如下截圖:
攻擊機不斷向服務器頁面index.php?m=search發送POST請求,對每一項進行分析后得到如下所示:
使用了eval()語句執行了一句話功能。因此判斷菜刀的鏈接地址就是:
118.194.196.232:8083/index.php?m=search
5, 黑客使用菜刀的連接密碼
根據對上述包的分析,發現如下圖所示:
因此判斷一句話木馬的變量名為chopper,即菜刀使用的連接密碼。並且變量的值使用base64加密,對其加密內容進行解密后結果如下:
判斷此句話的作用可能是獲取該執行腳本的當前路徑等其他各種服務器信息。
而緊跟着此數據包后通過服務器向攻擊者反饋的信息可以得到如下圖所示:
可以看出執行腳本路徑為/var/www/html/,服務器類型為LInux等各種信息。
6, 黑客查看的第一個文件目錄是什么?
繼續接着第五步分析,發現該包中第二個POST請求中構造的base64加密后的指令如下:
其中z0的解密如下:
大致意思為對POST的z1變量進行base64解密,然后賦值給變量$D,之后執行使用opendir函數執行目錄查看操作,因此第一次查看的目錄即z1解密的內容路徑,
z1對應的base64是”L3Zhci93d3cvaHRtbC8=”
對z1進行解密后結果如圖:
所以黑客第一次查看的目錄為/var/www/html/。