流量包分析

最新推荐文章于 2024-07-15 23:46:30 发布
最新推荐文章于 2024-07-15 23:46:30 发布
阅读量347 收藏 7
点赞数 6
文章标签: 学习 wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80366980/article/details/137042313
版权

前言

仅供个人学习,如有冒犯请尽快联系

记录一个周常流量包的分析

在这里插入图片描述

攻击者使用的端口扫描工具是?

常见的端口扫描工具有ScanPort,Nmap,masscan

先看协议分级,看到了大量的ssh协议和少量的http协议

ssh协议流量通常用于安全的远程管理和文件传输,先不看

先看http协议,把其他协议滤掉

找到一句

在这里插入图片描述

在这里插入图片描述

扫描工具为nmap

通过流量及日志审计,攻击者上传shell的时访问web使用IP地址是多少?

继续看http请求

在这里插入图片描述

找到一句admin.jpg文件上传的句子

在这里插入图片描述

注意到变量为cmd,查找cmd

找了几个包之后

发现上传shell的包

在这里插入图片描述

ip为192.168.150.2

审计流量日志,攻击者反弹shell的地址及端口?

结合之前发现的语句,不难发现,ip为192.168.150.2

端口为4444

在这里插入图片描述

攻击者使用的提权方式及工具是什么?

先分析请求包

在这里插入图片描述

得出提权工具是冰蝎

攻击者用端口4444反弹shell,所以这边直接看4444端口的数据流

很乱,直接追踪4444端口的tcp流

在这里插入图片描述

由此可知是/bin/bash提权

在这里插入图片描述

攻击者创建的新用户名是?

创建新用户命令

在这里插入图片描述

所以我们直接找adduser或add

找到后直接追踪流

在这里插入图片描述

用户名为securityy

在这里插入图片描述

攻击者将shell删除并放到了其他web目录,文件名被改变了,找出他的绝对路径及文件名

继续往下翻

在这里插入图片描述

文件名为下面的.hackba.php

路径(.开头的为隐藏文件,直接ls出不来)

/var/www/html/log/blog/./.ShEllHAha/.hackba.php

攻击者使用新用户留下了木马进行不法行为,找出程序名,给出程序的绝对路径

在这里插入图片描述

一个图片马admin.jpg

路径

/var/www/html/log/blog/./.ShEllHAha/html/uploads/admin.jpg

荆棘鸟lm
关注
  • 6
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Bugku 分析 特殊后门(wireshark流量分析
zazazrt的博客
02-21 2555
我们根据题目提示可以看到提示我们flag可能在这几个协议中我们打开wireshark分析下 虽然我是直接一开始就搜的icmp.... 我们在往下看, 是不是看的有点眼熟接下来我们顺着一个一个看,便可以得到flag{Icmp_backdoor_can_transfer-some_infomation} 当你检视其他协议的时候你会发现很正常arp的也是正常的。 其实...
SSH协议分析
08-19
议能够实现安全的网络远程登录功能,是远程服务配置管理的有力工具,文章论述SSH的基本原理 和实现方法,并结合开源软件OpenSSH,采用虚拟机方式验证SSH技术的应用环境。
溯源取证 - 流量分析 中等难度
weixin_48421613的博客
05-30 1028
通过本篇文章,学习ssh协议特点、学习流量导出文件、学习简单的逆向分析学习hashcat的简单使用、学习查壳工具等
linux应急响应&流量分析(附环境)
qq_73870170的博客
12-13 1199
linux应急响应
SSH协议解析及wireshark分析
热门推荐
chen1415886044的博客
07-11 2万+
ssh中文名称叫安全外壳协议,是一种加密的网络传输协议。SSH 在 TCP 和 UDP 中都被分配了端口 22。 但是,由于需要可靠的通信、正确的数据排序等,该协议主要在 TCP 上运行。 为什么需要SSH? SSH 和 telnet 之间的主要区别在于 SSH 提供完全加密和经过身份验证的会话。而telnet缺少安全的认证方式,而且传输过程采用TCP进行明文传输,存在很大的安全隐患。单纯提供telnet服务容易招致DoS、主机IP地址欺骗、路由欺骗等。所以在远程登陆上SSH替代telnet,提供更安全可
Telnet和SSH数据分析和服务器搭建
yangfan695695的博客
04-11 951
1.实验内容1、分析给定的Telnet数据和SSH数据,进一步熟悉Telnet和SSH的工作流程;2、在Linux操作系统中搭建Telnet服务器和SSH服务器;在Windows操作系统中利用自带的Telnet客户端和下载安装的SecureCRT分别连接所搭建的服务器,捕获连接数据学习利用SecureCRT远程控制Linux操作系统。2. Telnet数据分析首先是建立TCP连接第一个T
流量分析解密
weixin_44159598的博客
04-05 2226
根据文件,使用wireshark进行分析 逐个查看内容时 在这个地方找到了流量协议的加密方式 根据这里得到的信息,我们开始寻找rsa的相关内容 在这里我们发现了RSA的公钥指数和模数,所以我们将公钥内容导出,右键->复制->复制为16进制 导出后,首先尝试yafu分解,很快就分解出来 此时我们知道rsa的e,p,q,n,所以接下来我们利用现有工具生成私钥并导入 这里生成私钥我...
IP流量分析.zip
11-11
本压缩IP流量分析.zip”提供了一个基于JAVA实现的简单GUI界面,用于分析IP流量。下面我们将详细探讨其中涉及的知识点。 首先,我们要了解什么是IP流量。在互联网通信中,数据被分割成多个小的数据单元,...
IP流量分析程序
01-05
IP流量分析程序》是基于C++编程语言,在Microsoft Visual Studio 2015环境下开发的一款应用程序。该程序的核心功能在于对网络中的IP数据报进行深度解析与流量分析,以便于用户理解网络活动和优化网络性能。在...
w.rar_IP流量分析
09-23
在IT领域,网络数据传输是不可或缺的一部分,而IP流量分析则是理解网络性能、优化网络配置、检测网络安全问题的关键技术。本主题将深入探讨“w.rar”压缩中关于IP流量分析的相关知识,该压缩含编程代码,...
IP流量分析WINPCAP实现
05-27
标题中的“IP流量分析WINPCAP实现”指的是利用WINPCAP库进行网络数据捕获和流量分析的技术。WINPCAP(Windows Packet Capture)是一个开源的、系统级的网络数据过滤和分析库,主要在Windows操作系统上使用。它...
使用winpcap进行ip流量分析
04-15
本篇文章将详细探讨winpcap在IP流量分析中的应用,以及如何结合程序源码和文档进行学习开发。 首先,我们要理解IP流量的基本概念。IP流量是网络传输中的基本单位,含了源地址、目标地址、协议类型等信息,...
SSH 协议基本原理及 wireshark分析
weixin_34133829的博客
09-27 7311
一、SSH协议简介 我们经常会使用ssh username@hostIp命令登陆我们的linux服务器,如下图所示: 我们也明白这是使用了SSH协议进行登陆,但我们想知道的是,为什么可以使用SSH协议进行登陆,而且为什么使用SSH就是安全的,其背后的原理是什么?下面我们就一起来探讨下这几个话题。 当然啦!如果现在你手头上有相关公网可访问的云主机,那么请你登陆你的云主机,然后执行grep sshd...
SSH流量分析工具Network-Parser安装
ShenZ的博客
09-02 1072
工具地址:https://github.com/fox-it/OpenSSH-Network-Parser 1. git下载项目 #apt install git git clone https://github.com/fox-it/OpenSSH-Network-Parser.git cd OpenSSH-Network-Parser sudo python setup.py build sudo python setup.py install 这里会报错 error: Could not f.
Lumos学习王佩丰Excel第四讲:排序与选择
Sunshine_XX的博客
07-10 408
自定义排序演示:工资条拆分的演示:如果遇到很长的表,标题只存在于顶端,打印出来观感不好,可以这样做:有些版本的excel复制筛选数据容易把背后隐藏的所有数据都复制上去,这时可选中定位条件的“可见单元格”选项,复制粘贴即可。并排表示且,错排表示或。ctrl+shift+↓+→全选,演示说明:回头学原理,先记住一句话,要想筛选对,条件表头不要对。
ROS基础学习-ROS运行管理
周陽讀書
07-11 764
ROS运行管理。
探索Perl语言:入门学习与实战指南
最新发布
洛秋的博客
07-15 632
Perl(Practical Extraction and Report Language)由Larry Wall于1987年创建,旨在帮助系统管理员简化日常任务。高效灵活:Perl的语法灵活多样,支持多种编程风格(过程式、面向对象等)。强大的文本处理能力:内置强大的正则表达式支持,是处理文本数据的利器。丰富的模块库:通过CPAN(Comprehensive Perl Archive Network)可以方便地获取和使用各类模块。Perl广泛应用于系统管理、Web开发、网络编程、数据库操作等领域。
NumPy库学习之np.random.rand函数
qq_46396470的博客
07-15 152
是 NumPy 库中的一个函数,用于生成随机数。这些随机数是从均匀分布 [0, 1) 中抽取的,即每个数都在0到1之间,但不括1。
python 语法学习 day 7
2303_79973545的博客
07-15 225
-----元组之间可以进行比较,比较的规则是逐个比较元组中的元素。首先比较第一个元素,如果相等,则比较第二个元素,以此类推。如果所有元素都相等,那么元组相等;否则,比较的结果取决于第一个不相等元素的比较结果。题意:统计单词的种类以及数量(忽略大小写),最终以降序输出(出现次数相同的单词根据单词的大小升序输出)-------掌握如何将一个英语句子中的单词拆出来,并且去掉标点符号。EOF,输入后产生异常-->>捕获异常,结束输入。第一次提交的答案是:先把所有输入值放在列表里面。------字典排序。
mobdus/tcp流量分析
05-28
Modbus/TCP是一种基于TCP/IP协议栈的工业通信协议,常用于工业自动化领域。要分析Modbus/TCP流量,可以使用网络分析工具,如Wireshark。以下是分析Modbus/TCP流量的步骤: 1. 打开Wireshark并开始抓,选择正确的网络接口。 2. 在过滤器框中输入“tcp.port==502”来过滤出Modbus/TCP流量。 3. 分析Modbus/TCP请求和响应报文的结构。Modbus/TCP报文通常由报文头和报文体组成。报文头含了TCP报文头和Modbus/TCP报文头,报文体含了Modbus请求或响应数据。 4. 对Modbus/TCP请求和响应进行解码。根据Modbus/TCP报文头的功能码字段,可以确定该报文是哪种类型的请求或响应。然后根据Modbus协议规定的数据格式进行解码。 5. 分析Modbus/TCP报文的内容,括起始地址、数据类型、数据长度等信息。根据这些信息可以判断该报文的用途和数据内容。 6. 根据分析结果进行故障排除或优化网络性能。 需要注意的是,分析Modbus/TCP流量需要具备一定的Modbus协议和TCP/IP协议栈的知识。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值