【玄机应急】第六章特征分析—waf上截获的黑客攻击流量

一、附件下载

下载好流量数据包.pcap,在WireShark中打开

image-20240613132832287

二、步骤一:黑客登陆系统的密码

image-20240613132906529

1、筛选POST请求

1
http.request.method == "POST"

登陆的地址在/admin/login.php?rec=login

image-20240613133123336

2、筛选全部的登陆请求

1
http.request.method == "POST" && http.request.uri contains "rec=login"

直接找最后几条

image-20240613133320489

三、步骤二:黑客发现的关键字符串

题目中xxx的数量有32个,那么字符串也既有可能就是32位

image-20240613133436956

1、蚁剑流量特征

查看http流量的时候,发现很多对a.php文件发起访问

image-20240613133836165

仔细查看流量发现是蚁剑的流量特征

image-20240613133746151

2、筛选蚁剑的响应数据包

我们筛选所有蚁剑的请求包,之后做上标记

1
http.request.uri contains "/a.php"

image-20240613145606097

回到http中,看蚁剑的响应包

image-20240613150202712

四、步骤三:黑客找到的数据库密码

image-20240613150423924

同样是在蚁剑的响应包中找到

image-20240613150411200