首先拿到这个流量包,还是先对整个包中的帧进行初步的查看,发现为大量的TCP数据帧和HTTP数据帧。
网络攻击一般来自于web,是web那就一定有http,接下来对http进行筛选
发现为大量的GET请求,GET请求在实质性的破坏上比POST请求的破坏性小,那接下来再进行对POST请求的筛选。
发现一个很特殊的数据帧,在访问xiaoma.php,并且一般用户是不会访问到upload文件夹的,接下来对此IP进行筛选,方便查看。
攻击者通过提前上传一个webshell文件(xiaoma.php),接下来通过使用中国菜刀访问webshell文件从而进行一系列的攻击
由上图可知,这是一个中国菜刀的连接接口,会进行一个BASE64的解码。
那现在问题就大了,中国菜刀一旦连接上来,那意味着,攻击者就拥有了所有的权限。那接下来我们就再看一下攻击者操作了什么。
由上图可知,攻击者在访问数据库管理系统,并且知道账户和密码,为root 、root,进行了一个查看所有数据库的操作。
版权声明:本文为oJiuJieZhong原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。