數據包分析之信息安全鐵人三項
電子取證是指利用計算機軟硬件技術,以符合法律規範的方式對計算機入侵、破壞、欺詐、攻擊等犯罪行為進行證據獲取、保存、分析和出示的過程。從技術方面看,計算機犯罪取證是一個對受侵計算機系統進行掃描和破解,對入侵事件進行重建的過程。具體而言,是指把計算機看作犯罪現場,運用先進的辨析技術,對計算機犯罪行為進行解剖,搜尋罪犯及其犯罪證據。
隨著計算機犯罪個案數字不斷上升和犯罪手段的數字化,搜集電子證據的工作成為提供重要線索及破案的關鍵。恢復已被破壞的計算機數據及提供相關的電子資料證據就是電子取證。
本文針對信息安全鐵人三項網絡流量數據包樣題分析。
樣題已經下載下來了
這些數據包的題目是
首先從題目來判斷,對網站管理系統做了暴力破解,並且獲得了管理員權限,還下載了重要文件。我們由此判斷先從HTTP協議入手進行分析。首先打開數據包:
然後我們使用Wireshark的篩選器對HTTP協議進行篩選
我們對數據包進行篩選之後發現URL存在敏感詞匯admin login等字符 初步判斷對後臺進行暴力破解
然後我們對數據包的內容進行分析查看發現確實是暴力猜解 賬戶名與密碼、驗證碼
我們重新設置了篩選器的規則 對目標地址與源地址進行篩選並篩選HTTP協議
然後對數據包篩選之後通過對信息的分析login admin 等關鍵url 經驗之談。 然後追蹤TCP流我們發現有登陸成功字樣(要將編碼轉換為TTF-8)確認了黑客獲取到的賬戶名是root 密碼123456
針對第三個問題黑客修改了什麽問題,我在第一個數據包中並沒有找到關鍵信息,於是打開了第二個數據包進行過濾篩選IP地址與HTTP協議發現一些針對敏感url的操作 file edit_file 等敏感詞匯於是我對其進行了追蹤TCP流
從具體的信息查看我們發現黑客操作的文件應該是 index.php
黑客使用菜刀連接的地址與密碼在第三個數據包被我發現了,這裏的思路主要還是對數據包進行過濾與對url分析還有就是提交方式,這個POST請求十分可疑,並在其中發現了Value: @eval\001(base64_decode($_POST[z0]));字樣判斷這是一句話木馬。菜刀鏈接的密碼就是z0。
操作的第一個目錄我們從請求中可以看到一串base64加密,於是我們解密後發現操作的目錄是/var/www/html/
總結:數據分析取證是一個細致的過程,需要你善於發現,沈穩的來看待問題。並且要掌握一定的計算機網絡知識與wireshark的使用技巧。
數據包分析之信息安全鐵人三項