被攻击的机器上运行的新博客的入口端口
通过 tcp.stream eq 0 and http.response.code >= 200 and http.response.code < 300 筛选整个流量包中第一个TCP会话流(Stream 0) 的所有数据包,再筛选出状态码为 2xx 的成功请求。
内容复制到 AI 中初步解析一下,找到下图所示的内容,新博客使用halo框架。
通过字符串搜索 halo 得到端口号为 8090。
黑客使用弱口令登陆了新博客后台,并修改了管理员账户的密码,原密码是?
首先 halo 框架后台地址一般为 ../console ,先用 http.request.uri contains "console" 筛选一下。
一般 halo 框架修改密码走的是 PUT /api/v1/users/me/password(修改当前登录用户的密码),请求体是 json 格式的:{ "oldPassword": "当前密码", "newPassword": "新密码" } 。
新增条件:http.request.uri contains "console" and http.file_data contains "oldPassword"
得到修改前的密码 [Path with value: /oldPassword:ansel3434] 。
最早登录新博客的浏览器的版本号
筛选一下:tcp.port == 8090 and http.user_agent contains "Windows" ,多给点条件碰运气。
找到 devices 可能是设备管理界面,追踪流把内容丢给 AI 去分析。
得出:根据提供的JSON数据,最早登录新博客的设备对应的浏览器版本号是135.0,该设备使用Firefox浏览器,登录时间为2025-05-22T09:16:55.103776630Z。
