分析攻击流量样本

最新推荐文章于 2024-06-27 22:21:50 发布
最新推荐文章于 2024-06-27 22:21:50 发布
阅读量6.3k 收藏 12
点赞数 1
分类专栏: 安全 文章标签: 蜜罐 流量分析 wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/I_am_going/article/details/53306858
版权
本文分析了.pcap格式的攻击流量样本,通过Wireshark发现攻击者利用CVE-2003-0533(MS04-011)漏洞对目标主机进行攻击。攻击者通过构造恶意参数调用DsRoleUpgradeDownlevelServer(),在受害者主机上创建shell并下载执行蠕虫病毒ssms.exe。攻击过程快速自动化,仅耗时16秒,且受害者可能是一个蜜罐。
摘要由CSDN通过智能技术生成

此次分析样本是.pcap格式,共348帧。主要利用的分析工具是wireshark以及它的命令行版本tshark。

前期分析

首先通过观察,发现只涉及到两个ip,在本文中称98.114.205.102为主机A,192.150.11.111为主机B。
如下图,A主动向B请求TCP连接,并完成了三次握手。
三次握手
虽然不能断定,但很有可能A为攻击者,B为受害者,A攻击的是B的主机系统。

理论上说这种类型的攻击一定利用了已知系统漏洞或者0day,所以接下来的目标是找到A究竟利用了什么漏洞对B实施了攻击。

于是观察有没有能够暴露更多信息的数据帧。如下图,可以看到在第33帧有一个函数被调用。这非常可疑。网上搜一下这个API,很快发现它曾经曝出过问题,编号CVE-2003-0533,winodws上大名鼎鼎的“冲击波”利用的就是这个漏洞,微软给的编号是MS04-011。
函数调用

该漏洞是一个远程缓冲区溢出,DCE/RPC请求可以从远程主机发送到本地机的LSASS.EXE进程(Microsoft Windows LSA是本地安全授权服务(LSASRV.DLL))。LSASS DCE/RPC末端导出的Microsoft活动目录服务存在一个缓冲区溢出,远程攻击者可以利用这个漏洞以SYSTEM权限在系统上执行任意指令。攻击LSASS的漏洞的基本办法,就是构造长参数DomainName,通过DsRoleUpgradeDownlevelServer(

最低0.47元/天 解锁文章
离离原上草_#
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一次mirai僵尸网络攻击的流量分析
MSB_WLAQ的博客
09-28 591
表哥们好,今天又是看设备的一天,之前看到木马的状态码是404 not found就不看了,告警每天20W,就俺们两个人,想着还是要好好深入分析的原则,就有了mirai僵尸网络的流量分析一文,感兴趣的小伙伴,可以继续跟下去。(因为文章比较简单) 分析 分析过程: 1.攻击ip为国外ip. 1.看到一个攻击主机一直在对多个主机进行攻击。 2.请求路径为,/cgi-bin/mainfunction.cg。 3.useragent为XTC,是mirai的标志之一。 4.请求体,可以看到这里有linux执行命令,
Wireshark之攻击流量分析
qq_52486507的博客
03-10 3608
7.继续查看数据包文件logs.pacapng将恶意用户下载的文件里面的内容作为Flag值(形式:[文件内容])提交。5.继续查看数据包文件logs.pacapng分析出恶意用户连接一句话木马的密码是什么,并将一句话密码作为Flag。3.继续查看数据包文件logs.pacapng分析出恶意用户读取服务器的文件名是什么,并将该文件名作为Flag值。4.继续查看数据包文件logs.pacapng分析出恶意用户写入一句话木马的路径是什么,并将该路径作为Flag值。所以Flag的值:Flag:[flag.zip]
CTF——MISC(流量分析
最新发布
m0_67189356的博客
06-27 351
Wireshark(前称Ethereal)是一个网络封包分析软件网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。用于决定将什么样的信息记录在捕捉结果中。依据协议过滤时,可直接通过协议来进行过滤,也能依据协议的属性值进行过滤。在捕捉结果中进行详细查找。它允许您在日志文件中迅速准确地找到所需要的记录。他们可以在得到捕捉结果后随意修改。
流量分析攻击及防范
weixin_33853827的博客
09-19 1094
这几天读了2篇关于流量分析攻击的文章,写下一些核心思想和主要问题。 情景设定:被攻击者通过SSH、SSL隧道连接到某个代理,通过该代理访问互联网;攻击者可以获得二者之间往来的加密数据包。由于数据包都是通过加密方式发送到某服务器,所以攻击者唯一能知道的就是数据包发送的大小和时间。如何推测出用户正在访问什么网站呢? 核心思想:不同的网站在访问时,链路上往来的数据包的大小是不一样的,例如...
攻击流量分析
2302_76965792的博客
12-09 278
演示一些攻击过程,攻击过程中使用wireshark抓取攻击流量,定位关键字段,打开pikachu靶场。
网络攻击与防御之网络流量分析实验
qq_45722813的博客
03-24 2598
实验一 网络流量分析 本次实验所使用到的主要软件包括:虚拟机(VMware/VirtualBox), 流量分析软件(Wireshark, Zeek或科来网络数据包分析软件),网络扫描工具nmap,浏览器(Chrome或IE)。 每个题目给出主要操作步骤、截图和分析。 一. 虚拟机环境设置与网络配置 使用VMware或VirtualBox创建Linux虚拟机(Ubuntu或 Centos,推荐Ubuntu 18.04); 1.打开VMware,创建新的虚拟机 2.选择使用【典型】,下一步 3.选择【稍后
sql注入攻击流量情况
07-18
sql注入攻击流量情况
流量分析 ICC 2019Dos攻击数据集 文件格式txt,csv
03-24
接下来,可以利用机器学习算法,如支持向量机(SVM)、随机森林或集成学习方法,甚至是深度神经网络,训练分类模型来区分正常流量和DoS攻击流量。对于深度学习,可能涉及卷积神经网络(CNN)或循环神经网络(RNN),...
35.恶意代码攻击溯源及恶意样本分析1
08-03
1. 恶意攻击流程及溯源方法:在业界,恶意代码分析通常从检测到的异常行为开始,通过分析攻击链路,如域名/IP、入侵日志、全流量分析等,定位攻击源。 2. 域名/IP:通过对域名和IP的监控,可以追踪到恶意活动的网络...
ICC2017 Dos攻击数据集
03-23
这个数据集包含了225745行数据,每行代表一个网络流量样本,共有85列特征,这为深入分析提供了丰富的信息。 DoS攻击是互联网安全中的一个重要问题,它通过向目标系统发送大量无效请求,使其资源耗尽,从而导致正常...
利用Sniffer进行DOS攻击流量分析
08-12
利用Sniffer进行DOS攻击流量分析,亲。太贵了,文档没什么作用。
Wireshark流量分析
12-17
用于网络安全流量分析的工具,可以配合burpsuite抓包工具一块使用
WebScan 扫描工具流量样本
03-26
几种扫描工具的扫描流量样本,burpSuite、awvs等,自己捕获的测试流量~
论文研究-基于流量分析的App-DDoS攻击检测.pdf
07-22
针对当前应用层分布式拒绝服务攻击(App-DDoS)检测方法高度依赖于系统日志, 且检测攻击类型单一的问题, 提出了基于卡尔曼滤波和信息熵的联合检测模型DFM-FA(detection and filtering model against App-DDoS attacks based on flow analysis), 将应用层的行为异常检测映射为网络层的流量异常检测, 最大限度地保证了合法用户的优先正常访问。实验证明, DFM-FA既不依赖于系统日志, 同时又能检测到FTP、DNS等多种App-DDoS攻击。
原始pcap文件
10-07
《使用libpcap库过滤pcap文件中的数据包》文章中使用的原始输入文件。
网络安全——流量分析
热门推荐
W981113的博客
01-14 1万+
一、题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可) 3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:
实训4 网络攻击溯源与流量分析
zlLzH18的博客
05-09 632
syn半链接攻击的特点和危害?SYN:同步序列编号(Synchronize Sequence Numbers)。是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时,客户机首先发出一个SYN消息,服务器使用SYN+ACK应答表示接收到了这个消息,最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接,数据才可以在客户机和服务器之间传递。SQL注入攻击的一般流程是什么?
ARP攻击-流量分析
逆旅行人的博客
03-21 4812
ARP攻击-流量分析 1.实验工具 1.kali作为攻击机 2.win10作为靶机 2.kali数据包转发 出于安全考虑,Linux系统默认是禁止数据包转发的。所谓转发即当主机拥有多于一块的网卡时,其中一块收到数据包,根据数据包的目的ip地址将数据包发往本机另一块网卡,该网卡根据路由表继续发送数据包。这通常是路由器所要实现的功能。我们需要手动开启转发功能。 1.如何开启通信转发? kali里有个ip_forward 配置文件 1.默认是0 禁止端口转发 2.将其设置成1 开启端口转发 2.开启步骤 1.查看
恶意代码攻击溯源与样本分析详解
本文主要探讨了恶意代码攻击的溯源及恶意样本分析,涵盖了学术界和产业界的视角,涉及特征提取、预处理、相似性计算、同源判定等多个方面,并介绍了产业界的恶意攻击流程及溯源方法。 一. 前言 网络安全事件与恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值