Paulcyber06/E6-Wireshark-Post-Exploitation

# 第 6 集 — Wireshark：入侵后调查 ## 目录 1. [背景](#1-contexte) 2. [登录后操作 — FTP 会话重建](#2-actions-post-connexion--reconstruction-de-la-session-ftp) 3. [检测可疑 HTTP 流量](#3-détection-du-trafic-http-suspect) 4. [访问 Webshell — 数据包 407](#4-accès-au-webshell--paquet-407) 5. [重建 HTTP 请求](#5-reconstruction-de-la-requête-http) 6. [MITRE ATT&CK 映射](#6-mitre-attck-mapping) 7. [结论](#7-conclusion) 8. [SOC 运营响应](#8-réponse-opérationnelle-soc) ## 1. 背景 在上一集中，`jenny` 账户于 **2021-02-01 23:26:26** 通过 FTP 暴力破解遭到入侵。SOC 继续进行调查，以确定攻击者在成功登录后做了什么，并评估入侵的范围，以便上报给 N2 团队。 ## 2. 登录后操作 — FTP 会话重建 通过 **Follow TCP Stream** 重建完整的 FTP 会话，我们可以观察到攻击者在登录后的操作顺序： [](1.png) | 时间 | 命令 | 响应 | 含义 | |-------|----------|---------|--------------| | 23:26:31 | `PASS password123` | `230 Login successful` | 登录成功 | | 23:26:31 | `SYST` | `215 UNIX Type: L8` | 系统识别 — **Linux 服务器** | | 23:26:33 | `PWD` | `257 "/var/www/html"` | 当前目录 — **Web 服务器根目录** | | 23:26:36 | `LIST -la` | `226 Directory send OK` | 列出目录内容 | | 23:26:38 | `TYPE I` | `200 Switching to Binary mode` | 切换到二进制模式以上传 | | 23:26:39 | `STOR shell.php` | `226 Transfer complete` | **上传了 PHP Webshell** | | 23:26:41 | `SITE CHMOD 777 shell.php` | `200 SITE CHMOD command ok` | **授予了执行权限** | | 23:26:41 | `QUIT` | `221 Goodbye` | 断开 FTP 连接 | ## 3. 检测可疑 HTTP 流量 我们应用 HTTP 过滤器来检测上传后网络上的任何 Web 活动： ``` http ``` [](2.png) 检测到 **11 个 HTTP 数据包**，主要在 **端口 80** 上。这些 HTTP 流量在 FTP 会话之后立即出现——这表明 Webshell 被立即使用了。 ## 4. 访问 Webshell — 数据包 407 我们优化过滤器，专门针对发往 Webshell 的请求： ``` http.request.uri contains "shell" ``` [](3.png) 只出现了一行：**数据包 407**，包含一个 `GET /shell.php` 请求。 | 信息 | 值 | |------------|--------| | 数据包编号 | 407 | | 时间 | 2021-02-01 23:26:58 | | 请求 | `GET /shell.php` | ## 5. 重建 HTTP 请求 我们对数据包 407 使用 **Follow TCP Stream** 来重建完整的请求： [](4.png) ``` GET /shell.php HTTP/1.1 Host: 192.168.0.115 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0 ``` | 信息 | 值 | 含义 | |------------|--------|--------------| | 访问的 URI | `/shell.php` | 确认使用了 Webshell | | 受害者服务器 IP | `192.168.0.115` | 攻击目标 | | 操作系统 | Linux x86_64 | 攻击者使用的是 **Linux 机器** | | 浏览器 | Firefox 78.0 | 通过浏览器手动访问 | ## 6. MITRE ATT&CK 映射 | 技术 | ID | 描述 | |-----------|-----|-------------| | Brute Force | T1110 | 使用 wordlist 进行大量 FTP 登录尝试 | | Valid Accounts | T1078 | 使用凭证 jenny:password123 | | Exploit Public-Facing Application | T1190 | 通过被入侵的 FTP 访问 Web 服务器 | | Web Shell | T1505.003 | 在 /var/www/html 中上传 shell.php 并执行 CHMOD | ## 7. 结论 | 阶段 | 时间 | 发现 | |-------|-------|---------| | FTP 登录成功 | 23:26:31 | ❌ 凭证泄露：jenny / password123 | | 系统识别 | 23:26:31 | ⚠️ Linux 服务器，已识别 Web 目录 | | 上传 Webshell | 23:26:39 | ❌ shell.php 已上传至 /var/www/html | | CHMOD 777 | 23:26:41 | ❌ Webshell 已设为可执行 | | HTTP 访问 Webshell | 23:26:58 | ❌ 后门从 Linux Firefox 机器激活 | 从 FTP 成功登录到首次访问 Webshell，完整的攻击链在 **不到 32 秒** 内完成。 ## 8. SOC 运营响应 ### 🚧 立即遏制 - 立即禁用 `jenny` 账户 - 在防火墙层面封锁源 IP - 将服务器 `192.168.0.115` 从网络中隔离 ### 📋 上报 — 需提交给 N2 团队的要素 | 要素 | 值 | |---------|--------| | 入侵日期和时间 | 2021-02-01 23:26:31 | | 泄露的凭证 | jenny / password123 | | 攻击者 IP | 192.168.0.115 | | 受害者服务器 IP | 192.168.0.147 | | 恶意文件 | /var/www/html/shell.php | | Webshell 访问时间 | 2021-02-01 23:26:58 | | 攻击者操作系统 | Linux x86_64 — Firefox 78.0 | ### 🔔 检测 - 针对所有通过 FTP 上传的 `.php` 文件的访问创建告警 - 针对发往 `/shell.php` 的 HTTP 请求创建告警 - 监控 FTP 会话中的 `SITE CHMOD` 命令 ## 📁 复现此分析 使用的 `.pcapng` 文件可在 **TryHackMe** 的 **[h4cked](https://tryhackme.com/room/h4cked)** 房间中找到。 只需免费的 TryHackMe 账户即可访问。 *© Paulcyber06 — 保留所有权利。*

标签：FTP协议分析, FTP暴力破解, HTTP流量分析, TCP数据流重组, Webshell, Wireshark, 入侵调查, 句柄查看, 安全运营中心, 库, 应急响应, 恶意权限修改, 攻击溯源, 文件上传漏洞, 网络信息收集, 网络安全, 网络安全审计, 网络映射, 隐私保护