[Thm蓝队]WireShark之.pcap后缀TCP流量分析服务器如何被逐步入侵的

引入

本次我们学习的知识也是熟悉一下使用工具,在此之前请允许我介绍一下学习此房间的的必要

我们都知道前不久在全国举办了强网杯,全国的高校和企业(包括国企）都来参加了,域当然也参加了这次坐牢的比赛

所以强网杯是各大企业比着打的,也是追求的方向之一

让我们来看其中强网杯的一道解析

其中就有TCP数据流的分析

当然我们当前阶段难以做高难度的题,但希望通过本次学习,我们能入门,也能Get到许多知识点,希望域能和大家一通学习,本篇文章域边打边写要好一两个小时,希望大家能够珍惜本次学习机会！

前言

本次房间地址:https://tryhackme.com/room/h4cked

我们是被攻击了 通过分析TCP分析来看看攻击者干了什么事

本次我们将使用的知识

Wireshark工具之.pcap TCP流量分析

被暴力破解分析

被隐藏后门分析

被入侵服务器拿到Shell 并且升级为Root用户分析

使用wireshark进行TCP流量分析

我们从任务那里下载到了pcap日志文件

下面我们把他复制到Kali里面进行流量分析

wireshark Capture.pcapng

回车后我们就进来了

我们对此追踪TCP流分析一下 分析的是FTP端口为21的TCP流

攻击者暴力破解FTP密码

我们来看一下

我这里电脑卡了所以白屏了

我们这里看到了FTP账号 还有一个类似的密码（不过这里是攻击者进行爆破的）具体密码不知道

搜一下英语

往下分析流我们会发现我们的密码被攻击者暴力破解 在攻击者暴力破解七次的时候密码已经出来了

所以目前我们知道了FTP的账号密码已经被攻击者攻击出来了

攻击者上传后门

让我们继续分析

攻击者使用FTP登录了FTP目录/var/www/html

并且请求上传了Shell.php后门文件 并且用Chmod 777 shell.php给了shell执行读写的权限

以下是来自AI的解释

1. 这段文本是一个FTP（文件传输协议）的交互过程。FTP是一种用于在网络上传输文件的协议。下面是对这段文本的逐条解释：
2. 220 Hello FTP World!
   服务器向客户端问候，并声明它支持FTP。
3. USER jenny
   客户端发送用户名”jenny”。
4. 331 Please specify the password.
   服务器请求输入密码。
5. PASS password123
   客户端发送密码”password123″。
6. 230 Login successful.
   服务器确认登录成功。
7. SYST
   客户端询问服务器使用的操作系统类型。
8. 215 UNIX Type: L8
   服务器告诉客户端它是UNIX系统。
9. PWD
   客户端询问当前的工作目录。
10. 257 “/var/www/html” is the current directory
    服务器告诉客户端当前目录是”/var/www/html”。
11. PORT 192,168,0,147,225,49
    客户端发送一个PORT命令，告诉服务器它打算从IP地址192.168.0.147的端口22549发送数据。
12. 200 PORT command successful. Consider using PASV.
    服务器确认PORT命令成功，并建议使用PASV模式。
13. LIST -la
    客户端请求列出当前目录下的所有文件和目录，包括隐藏文件。
14. 150 Here comes the directory listing.
    服务器开始发送目录列表。
15. 226 Directory send OK.
    服务器完成目录列表的发送。
16. TYPE I
    客户端请求以二进制模式传输文件。
17. 200 Switching to Binary mode.
    服务器确认已切换到二进制模式。
18. PORT 192,168,0,147,196,163
    客户端再次发送一个PORT命令，这次是关于数据传输的端口设置。
19. STOR shell.php
    客户端请求将名为”shell.php”的文件存储在服务器上。
20. 150 Ok to send data.
    服务器准备接收数据。
21. 226 Transfer complete.
    数据传输完成。
22. SITE CHMOD 777 shell.php
    客户端请求更改”shell.php”的权限为777（意味着所有用户都可以读、写和执行这个文件）。
23. 200 SITE CHMOD command ok.
    服务器确认权限更改成功。
24. QUIT
    客户端请求断开连接。
25. 221 Goodbye.
    服务器向客户端道别，并关闭连接

我们看这里

攻击者进行了远程下载上传后门文件

攻击者进行了远程下载上传后门文件

继续分析

攻击者加固shell

从上图我们看到那个蓝色的命令

python3 -c 'import pty;pty.spawn("/bin/bash")'

这也是期中有一个问题:

攻击者执行哪个命令来生成新的 TTY shell？

日常在攻击的时候,我们首先得到的是一个不稳定的 shell。我们需要让它稳定。大多数时候我们使用简单的 Python 脚本来执行此操作。我们可以看到，我们在分析上述 TCP 流时也使用了相同的脚本

python3 -c ‘import pty;pty.spawn(“/bin/bash”)’生成了ROOT shell并且用此shell进行了root升级

我们也可以清晰的看到攻击者加固了shell并且获取了Root权限

攻击者上传隐藏后门

我们继续分析

攻击者拿到root权限之后

克隆了github的reptile项目文件

此文件是隐藏后门

好的我们蓝队分析结束

我们已经摸清了攻击者的思路

下次就可要防范了

------本文已结束，感谢您的阅读------