目录
(4)黑客上传文件webshell 提交webshell内容
一、流量包修复
.pcap无法打开 ——命令pcapfix修复
pcapfix png.pcap 同时目录下新建文件
因为官网下载包我总是无法打开,缺少cygwin1.dll,拷了一个在目录下也没用exe就直接崩了
所以这是脚本之家下载:pacpfix下载
二、WEB流量包分析
(1)判断黑客使用的扫描器
常见的web扫描器 Awvs Netsparker Appscan Webinspect Rsas Nessus WebReaver Sqlmap
查看常见扫描器特征
通过wireshark筛选识别 http contains “特征关键词” /查找直接搜索关键词
(2)黑客入侵,确认黑客登录的后台
思路:黑客入侵会进行大量密码尝试,而且以POST方式进行
筛选:http.request.method == “POST”
POST/admin/login.php?Rec=login HTTP/1.1 登录后台
追踪流——可以看到username 和 password
(3)黑客登录的账号和密码
结合(2)已知登录后台
筛选:http.request.method == “POST”&& http contains “rec=login” && ip.src==黑客ip地址
然后按照时间排序,最后一个就是黑客使用的账号和密码
可能涉及加密解密
(4)黑客上传文件webshell 提交webshell内容
思路:一般来说都是一句话木马,直接搜素
一句话木马(最简单的例如):<?php eval($_POST[1]);?>
筛选:http contains “<?Php eval” 或者 http contains “<?Php“ 或者 http contains “eval”
追踪流查看是否为一句话木马
或者搜索分组字节流中的关键词-右键-显示
(5)黑客在某文件中找到的flag是什么
直接搜索该文件然后追踪流
(6)找到黑客数据库密码
思路:数据库涉及三个关键词:mysql database password 查询关键词
筛选:http contains “关键词”
筛选后数据过多,借助状态码再次筛选,请求服务器正常时状态码为:200
http contains “database” && http.response.code==200
再追踪流
(7)黑客数据库中hash_code是什么
根据(6)已知数据库主机ip,查找该ip有什么数据
筛选: ip.src==主机IP
搜素关键词(hash_code),显示字节流
(8)被攻击的web服务器,网卡配置,提交网卡ip
思路:网卡一般名称:eth0
筛选:tcp contains “eth0”
追踪tcp流