感想

其实溯源还是挺有意思的

通过流量包的分析几乎可以还原出完整的攻击流程

但是分析流量包也有难点，难点在于，如果整个包的选取不当，很容易导致误判（因为这个包是老师给的实验流量包，相对而言整个的包大小还是可以接受的，也很容易找到攻击机和被攻击机，因为基本上就2个ip。 如果流量包大起来了，通信的主机数量变多，想要从中溯源还是比较困难的。

target

老师给了一个流量包（一个包含了整个攻击过程的流量包，让我们分析流量包还原 攻击流程

可以看出 攻击机IP 192.168.2.183 Mac地址为 08:00:27:e6:16:43

接下来在wireshark中使用如下命令

(ip.src==192.168.2.183 and ip.dst==192.168.2.222) 

对流量包进行过滤

可以看到攻击机对目标机的不同端口都进行了syn请求，然后发送了一部分RST请求。可以看出这是在进行端口扫描

有RST请求的都是开放端口

使用如下命令进行过滤

(ip.src==192.168.2.183 and ip.dst==192.168.2.222 and tcp.flags.reset==1)

可以看到目标机开启了很多端口 探测端口后，可能会都某个端口进行攻击，根据3次握手规则，查看tcp.ack==1的报文

ip.src==192.168.2.183 and ip.dst==192.168.2.222 and tcp.ack==1

可以看到，攻击机尝试建立了许多tcp连接

追踪第一个21端口的tcp流

如果想尝试攻击，攻击机一定会尝试登入，这时候查看用

(ip.src==192.168.2.222 and ip.dst==192.168.2.183) or (ip.src==192.168.2.183 and ip.dst==192.168.2.222)

查看回复报文，根据前面的内容，回复报文应该在2350之后

在2540处发现了login失败的情况，而且是rlogind服务，如下图所示

在2627处又看到了rlogin请求，可以看出，攻击机做了多次的rlogin尝试

接下来在4172处发现了ftp请求

在4174处看见，用户是CbNORk:)

后面的那个符号还挺怪的，它会变成这个符号 :)

网上有了一下，发现

https://blog.csdn.net/m0_60883328/article/details/120244930

笑脸漏洞

密码看起来应该是随便输入的

追踪一下看看

嗯，看起来密码是随便输入的

超时了，根据博客的说法

vsftpd-2.3.4 手工触发漏洞：当进行FTP认证时，如果用户名USER中包含:)，那么直接就触发监听6200端口的连接的shell

(ip.src==192.168.2.222 and ip.dst==192.168.2.183) or (ip.src==192.168.2.183 and ip.dst==192.168.2.222)

然后找到端口是6200的，追踪tcp流

添加了新的用户 newuser 密码是anewuser

然后将 /etc/passwd 和 /etc/shadow 打包了并赋予了权限

原来打算建立一个hello.sh可是后来好像啥都没干就跑了

再往后看

继续追踪

主要是用RETR命令下载了user.tgz文件

可以看到4563告诉你具体user.tgz下载的一些信息

用ftp-data 进行过滤，4564就是ftp-data数据包

保存后解包

是这个熟悉的东西（之后爆破一下就得到密码了）