如解剖麻雀般地回忆一场小型电子数据取证竞赛（2）

其他

案例

知识

随笔

声音

编者按

书接上文，此为第二部分：流量分析与黑客攻击

第二部分：流量分析与黑客攻击

13.通过对流量包attack进行分析，该数据流量包的sha1的是多少？（格式填写小写字母与数字组合 如abc23dedf445） (5分)

用wireshark打开流量包，“统计”-“捕获文件属性”。

答案：

7f66df0b59bb5d633a1cb3dbe7acfbb7455458cc。

14.通过对流量包attack进行分析，捕获第一个数据报文的时间是？（格式按年-月-日 填写 如：yyyy-mm-dd 如2000-01-23） (10分)

答案：2018-08-08。

15.通过对流量包attack进行分析，捕获流量包时使用的接口数量（格式填写数字 如：10） (5分)

答案：1。

16.通过对流量包attack进行分析，获取被攻击的服务IP是多少？（格式数字与.组合填写 如：10.10.1.1） (5分)

题目没有说明攻击的类型，而常见的攻击主要分为流量攻击和漏洞利用等几种类型。为了便于我们推测攻击手法，可以先查看流量较大的几个IP，wireshark里点击”统计”-“conversation”。

确定流量较大的IP后，我们需要进一步推测这些IP是基于什么协议发起的。点击“统计”-“协议分级”，从协议的高低层次进行排查，发现HTTP层协议较多。

过滤器中输入“http”，存在大量404状态码，推测被某扫描器进行漏洞扫描。根据服务端找到IP192.168.32.189。

答案：192.168.32.189。

17.通过对流量包attack进行分析，得知攻击者IP是多少？（格式数字与.组合填写 如：10.10.1.1） (5分)

方法如上，根据请求端找到攻击者IP192.168.94.59。

答案：192.168.94.59。

18.通过对流量包attack进行分析，得知黑客使用的扫描器是？(5分)

过滤器里设置规则：http.request && ip.addr == 192.168.94.59 ，将来自192.168.94.59的HTTP请求包过滤出来，然后逐一排查相关数据包，发现相关HTTP协议中被注入扫描器的包头，根据特征推断是awvs。

答案：AWVS。

19.通过对流量包attack进行分析，得到黑客对服务器网站扫描到的登录后台是：（格式填写相对路径 ，使用小写字母、 / 和其他字符组合 如：/www/wwwroot） (10分)

答案：/admin/login.php

20.通过对流量包attack进行分析，得到其人事登录网站服务器的密码是？（格式填写字母与数字组合 如：abc123） (5分)

经过对前面登录流量包的分析可知，登录入口在/admin/login.php中，于是在过滤器中输入规则：http.request.uri contains "admin/login" ，倒着梳理登录HTTP包，发现最后一个就是人事的密码。比较坑的是，由于“人事”被url编码，无法通过搜索功能查找，当然大家可以尝试将相关关键字url编码，然后查找流量包中包含该url编码的数据。

答案：hr123456。

21.通过对流量包attack进行分析，得知黑客使用什么账号密码进行登录网站后台？（格式填写小写字母 、数字、 / 、其它字符组合 如：username/password） (10分)

这里提一个小技巧，根据服务器的状态码来判断登录结果。众所周知，状态码302为重定向、200为请求成功、404为资源不存在、403为目录权限导致不能列出等，因此我们可以通过状态码来判断是否登录成功。

过滤器中输入规则：http.response.code == 302 ，这时候发现倒数第二个登录包重定向到了管理员首页（倒数第一个是上一题），因此我们需要追溯该回复包的请求包中的账号密码即可。

选中该数据包，右击“追踪流”-“tcp流”。该选项可以将该数据包的“上下文”通过右下角的“流”展示出来，当然“HTTP流”则是仅展示HTTP层协议的请求与回显，没有查看上下文的功能。

提取密码并进行url解码。在Notepad++选中该密码，“插件”-“MIME Tools”-“URL Decode”将url解码，得到admin的登录密码：admin!@#pass123。

答案：admin/admin!@#pass123。

22.通过对流量包attack进行分析，得到黑客第一次上传的webshell文件名是什么？（格式填写小写字母、数字、 .组合 如：user.js或者user.php ） (5分)

这里仍通过过滤POST包来查找webshell，发现客户端疑似对webshell（a.php）进行操作，且服务器有相关响应，因此推断webshell为a.php。当然对于该webshell怎么产生的，本人并没有梳理出来。

答案：a.php。

23.接着上题分析，黑客上传的内容是什么？（格式填写数字 如：123456） (5分)

这道题实际上是变相在提问一句话密码。

答案：1234。

24.通过对流量包attack进行分析，黑客在robots.txt中找到的flag是什么？（格式填写小写字母与数字组合 如：ab6767gdgd9870） (5分)

过滤器输入规则：http，在海量HTTP包里搜索关键字robots.txt，接着查看上下文来查找flag内容。

也可以过滤器中输入：http.request.uri contains robots.txt ，将所有请求robots.txt的客户端筛选出来，接着通过TCP流功能来追溯服务器响应内容。

答案：

87b7cb79481f317bde90c116cf36084b。

25.通过对流量包attack进行分析，捕获这些数据报文的一共时间是？（格式 按小时:分:秒 填写 如：hh:mm:ss 如00:01:23） (5分)

此题与前面几道题做法一致，不再赘述。

答案：02:16:22。

26.通过对流量包attack进行分析，HTTP Request Packets占总的HTTP Packets百分比多少？（格式填写数字、. % 组合 如：11.11% 百分比保留小数点后二位） (5分)

Wireshark里点击“统计”-“HTTP”-“分组计数器”，统计结果为52.39%。

答案：52.39%。

27.通过对流量包attack进行分析，已提取出黑客之前曾经从数据库服务器盗取的数据文件hack.jpg，对其分析，得知该文件一共包含几个数据表？（格式填写数字 如：1） (10分)

此题的坑在于，让人误以为分析中国菜刀脱裤操作过程中的流量包，实则是一道隐写题。使用binwalk -e HACK.jpg命令将图片中的压缩包提取出来，解压得到一个SQL文件，导入到本地MySQL完成还原再查看数据表即可。

答案：8个。

28.接上题customername为Singal Gift Stores的电话号码为？（格式填写数字 如：1112222222） (5分)

在navicat里搜索关键字即可，比较坑的是客户的名字拼错了...需要换个关键字。

答案：7025551838。

原文始发于微信公众号（信息时代的犯罪侦查）：如解剖麻雀般地回忆一场小型电子数据取证竞赛（2）