hust破防实践3 实验二 流量分析

2022-05-09

感想

其实溯源还是挺有意思的

通过流量包的分析几乎可以还原出完整的攻击流程

但是分析流量包也有难点,难点在于,如果整个包的选取不当,很容易导致误判(因为这个包是老师给的实验流量包,相对而言整个的包大小还是可以接受的,也很容易找到攻击机和被攻击机,因为基本上就2个ip。 如果流量包大起来了,通信的主机数量变多,想要从中溯源还是比较困难的。

target

老师给了一个流量包(一个包含了整个攻击过程的流量包,让我们分析流量包还原 攻击流程

可以看出 攻击机IP 192.168.2.183 Mac地址为 08:00:27:e6:16:43

接下来在wireshark中使用如下命令

(ip.src==192.168.2.183 and ip.dst==192.168.2.222) 

对流量包进行过滤

可以看到攻击机对目标机的不同端口都进行了syn请求,然后发送了一部分RST请求。可以看出这是在进行端口扫描

有RST请求的都是开放端口

使用如下命令进行过滤

(ip.src==192.168.2.183 and ip.dst==192.168.2.222 and tcp.flags.reset==1)

可以看到目标机开启了很多端口 探测端口后,可能会都某个端口进行攻击,根据3次握手规则,查看tcp.ack==1的报文

ip.src==192.168.2.183 and ip.dst==192.168.2.222 and tcp.ack==1

可以看到,攻击机尝试建立了许多tcp连接

追踪第一个21端口的tcp流

如果想尝试攻击,攻击机一定会尝试登入,这时候查看用

(ip.src==192.168.2.222 and ip.dst==192.168.2.183) or (ip.src==192.168.2.183 and ip.dst==192.168.2.222)

查看回复报文,根据前面的内容,回复报文应该在2350之后

在2540处发现了login失败的情况,而且是rlogind服务,如下图所示

在2627处又看到了rlogin请求,可以看出,攻击机做了多次的rlogin尝试

接下来在4172处发现了ftp请求

在4174处看见,用户是CbNORk:)

后面的那个符号还挺怪的,它会变成这个符号 :)

网上有了一下,发现

https://blog.csdn.net/m0_60883328/article/details/120244930

笑脸漏洞

密码看起来应该是随便输入的

追踪一下看看

嗯,看起来密码是随便输入的

超时了,根据博客的说法

vsftpd-2.3.4 手工触发漏洞:当进行FTP认证时,如果用户名USER中包含:),那么直接就触发监听6200端口的连接的shell

(ip.src==192.168.2.222 and ip.dst==192.168.2.183) or (ip.src==192.168.2.183 and ip.dst==192.168.2.222)

然后找到端口是6200的,追踪tcp流

添加了新的用户 newuser 密码是anewuser

然后将 /etc/passwd 和 /etc/shadow 打包了并赋予了权限

原来打算建立一个hello.sh可是后来好像啥都没干就跑了

再往后看

继续追踪

主要是用RETR命令下载了user.tgz文件

可以看到4563告诉你具体user.tgz下载的一些信息

用ftp-data 进行过滤,4564就是ftp-data数据包

保存后解包

是这个熟悉的东西(之后爆破一下就得到密码了)