一、    問題背景

黑客對一個網站管理系統進行了暴力破解，成功獲取了管理許可權，並下載了重要檔案。

二、    問題分析

1，       黑客最終獲得了什麼使用者名稱

根據問題背景，黑客對一個網站管理系統進行了暴力破解。那麼預測是對網站進行密碼的窮舉破解，既通過不斷地向網站傳送POST登陸請求，不斷嘗試字典裡的賬號密碼登陸直到找到正確的網站管理系統賬號密碼。因此在wireshark中使用過濾欄位：

 http && http.request.method==POST

刪選出資料包中的POST請求,通過對第一個包過濾發現如下：

從上圖中可以看出IP地址為219.239.105.18的攻擊者不斷地向172.16.61.210傳送資料，其中在資訊欄中顯示POST的登陸請求，正如上述的猜測。

開啟每個資料項，檢視其詳細資訊如下：

根據上圖分析得到，在應用層傳輸的資料是向主機地址為118.194.196.232傳送登入請求，其登陸的完整地址為：

118.194.196.232:8083/index.php?m=admin&c=index&a=login&dosubmit=1

由此可以確定資料包中攻擊IP為219.239.105.18，而目標網站伺服器的IP為118.194.196.232。

繼續分析，首先判斷在第一個資料包中黑客是否成功破解目標網站伺服器。假設成功，那麼肯定是在最後抓取的資料項中才會出現。因此對其資料按照時間進行排序可得下圖：

由上圖可知最後的訪問網址與破解時POST的請求地址不同：

/index.php?m=admin&c=index&a=public_menu_left&menuid=2

通過其地址可以得出黑客已經拿破解除了網站系統的賬號密碼，並且進入了網站管理系統進行了相關操作。因此通過最後一個登陸包發現其賬號密碼分別為root和123456，截圖如下：

2，       黑客最終獲得了什麼密碼

根據上述分析，黑客最終獲取的密碼為123456

3，       黑客修改了什麼檔案？

根據上述的分析，得到攻擊者IP為219.239.105.18以及目標伺服器的IP為118.194.196.232。分析黑客可能利用HTTP去修改檔案。因此建立一下過濾欄位：

ip.addr==219.239.105.18&& http

通過對第二個包的分析，可以得到下圖所示:

發現最後一個請求裡出現檔案操作。展開後如圖所示：

根據他的請求連線分析得到，他是對模板檔案index.html進行了edit_file操作。因此黑客修改了模板index.html檔案。

4，       黑客使用菜刀的完整連線地址

根據上述第三個問題的分析，推測黑客可能在修改模板index.html檔案時寫入了一句話木馬。

根據對資料包903的分析，使用過濾關鍵字：

ip.addr==219.239.105.18&& http

得到如下截圖：

攻擊機不斷向伺服器頁面index.php?m=search傳送POST請求，對每一項進行分析後得到如下所示：

使用了eval()語句執行了一句話功能。因此判斷菜刀的連結地址就是：

118.194.196.232:8083/index.php?m=search

5，       黑客使用菜刀的連線密碼

根據對上述包的分析，發現如下圖所示：

因此判斷一句話木馬的變數名為chopper，即菜刀使用的連線密碼。並且變數的值使用base64加密，對其加密內容進行解密後結果如下：

判斷此句話的作用可能是獲取該執行指令碼的當前路徑等其他各種伺服器資訊。

而緊跟著此資料包後通過伺服器向攻擊者反饋的資訊可以得到如下圖所示：

可以看出執行指令碼路徑為/var/www/html/，伺服器型別為LInux等各種資訊。

6，       黑客檢視的第一個檔案目錄是什麼？

繼續接著第五步分析，發現該包中第二個POST請求中構造的base64加密後的指令如下：

其中z0的解密如下：

大致意思為對POST的z1變數進行base64解密，然後賦值給變數$D,之後執行使用opendir函式執行目錄檢視操作，因此第一次檢視的目錄即z1解密的內容路徑，

z1對應的base64是”L3Zhci93d3cvaHRtbC8=”

對z1進行解密後結果如圖：

所以黑客第一次檢視的目錄為/var/www/html/。