第六章 流量分析特征-蚁剑流量分析waf 上的截获的黑客攻击流量

一、流量特征分析-蚁剑流量分析

1.木马的连接密码是多少

过滤http流，追踪流查看，这是木马格式，木马的连接密码就是1

2.黑客执行的第一个命令是什么

接着查看流，看到id输出，那肯定是输入了id命令

3.黑客读取了哪个文件的内容，提交文件绝对路径

显示分组字节

在/etc/passwd目录下查看内容

4.黑客上传了什么文件到服务器，提交文件名

flag.txt

5.黑客上传的文件内容是什么

6.黑客下载了哪个文件，提交文件绝对路径

二、流量特征分析-waf 上的截获的黑客攻击流量

主要是对过滤命令的考察

1.黑客成功登录系统的密码

查看一下出现的ip，要确定哪一个是攻击者IP

过滤一下IP地址：http&&ip.src== 192.168.94.59

过滤请求中有/admin/login.php的流：http.request.uri contains "/admin/login.php"

再过滤一下POST请求：http.request.uri contains "/admin/login.php"&&http.request.method == "POST"

看到人事的登陆密码

这是admin用户的登陆密码

flag{admin!@#pass123}

2.黑客发现的关键字符串

先锁定a.php，因为攻击者一直在请求a.php

流量太多，过滤一下a.php找一下，然后可以看到关键字符串flag

3.黑客找到的数据库密码

接着查找流量包，在返回的请求包中，看到数据库的密码dbpass：e667jUPvJjXHvEUv