chap0x12 实战Bro网络入侵取证

最新推荐文章于 2023-11-14 09:53:26 发布
最新推荐文章于 2023-11-14 09:53:26 发布
阅读量631 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jackcily/article/details/85220600
版权

chap0x12 实战Bro网络入侵取证

  • 实验背景

    apt install bro bro-aux  #安装bro

  • 实验基本环境信息

    • lsb_release -a

      No LSB modules are available.
Distributor ID:	Kali
Description:	Kali GNU/Linux Rolling
Release:	kali-rolling
Codename:	kali-rolling

    • uname -a

      Linux bogon 4.17.0-kali3-amd64 #1 SMP Debian 4.17.17-1kali1 (2018-08-21) x86_64 GNU/Linux

    • bro -v

      bro version 2.5.5

  • 实验内容

    • 首先编辑bro配置文件

      编辑 /etc/bro/site/local.bro,在文件尾追加两行配置代码

      @load frameworks/files/extract-all-files
      @load mytuning.bro

      在 /etc/bro/site/ 创建新文件mytuning.bro,添加以下语句:

      redef ignore_checksums = T;    
#默认情况下,bro会丢弃没有合格校验和的数据包,所以如果想分析没有经过NIC计算的本地数据包,需要设置忽略校验码。

redef FTP::default_capture_password = T;
#ftp.log 中默认不会显示捕获的FTP登录口令,需要自己配置。

vim /etc/bro/site/local.bro  #打开文件
#取消以下语句注释启用 SMB  analyzer
@load policy/protocols/smb

    • 使用bro自动化分析pacp文件

      首先下载需要使用的pacp数据包

      wget http://sec.cuc.edu.cn/huangwei/textbook/ns/chap0x12/attack-trace.pcap

      使用语句分析pcap文件

      bro -r attack-trace.pcap /etc/bro/site/local.bro

      语句执行完毕,发现生成以下log文件和一个extract_files目录。

      total 252
-rw-r--r-- 1 root root 189103 Dec 22 20:56 attack-trace.pcap
-rw-r--r-- 1 root root    278 Dec 22 20:56 capture_loss.log
-rw-r--r-- 1 root root   1194 Dec 22 20:56 conn.log
-rw-r--r-- 1 root root    470 Dec 22 20:56 dpd.log
drwxr-xr-x 2 root root   4096 Dec 22 20:56 extract_files
-rw-r--r-- 1 root root    868 Dec 22 20:56 files.log
-rw-r--r-- 1 root root    847 Dec 22 20:56 ftp.log
-rw-r--r-- 1 root root  21817 Dec 22 20:56 loaded_scripts.log
-rw-r--r-- 1 root root    397 Dec 22 20:56 ntlm.log
-rw-r--r-- 1 root root    253 Dec 22 20:56 packet_filter.log
-rw-r--r-- 1 root root    565 Dec 22 20:56 pe.log
-rw-r--r-- 1 root root    705 Dec 22 20:56 stats.log

      目录extract_files中包含一个文件

      extract-1240198114.648099-FTP_DATA-FHUsSu3rWdP07eRE4l

      将该文件上传到virustotal中,发现62个引擎报毒,可判定该文件是攻击者攻击受害者的文件。

      通过阅读/usr/share/bro/base/files/extract/main.bro的源码可知文件名最后一个- 右侧的字符串FHUsSu3rWdP07eRE4l是文件的fid

      使用 bro-cut查看files.log文件中相关数据项

      grep ^#fields files.log | tr '\t' '\n'  #查看files.log中所有可用列名

bro-cut  ts  fuid tx_hosts rx_hosts conn_uids source mime_type duration  -d < files.log  #按照列名输出一些需要的列

#输出结果如下
2009-04-19T23:28:34-0400	FHUsSu3rWdP07eRE4l	98.114.205.102	192.150.11.111	Cw8rg33xAwn6mL95M3	FTP_DATA	application/x-dosexec	9.767306

      由输出结果可知,该文件的来源ip为98.114.205.102,该文件的接收方ip是192.150.11.111。该文件提取自网络会话标识 Cw8rg33xAwn6mL95M3的会话。

      使用bro-cut 查看ftp.log

      bro-cut 	ts uid id.orig_h id.orig_p  id.resp_h id.resp_p user password command arg reply_code reply_msg -d < ftp.log

2009-04-19T23:28:34-0400	CRBjHq8usvPXqm7cb	192.150.11.111	36296	98.114.205.102	8884	1	1	PORT	192,150,11,111,4,56	200	PORT command successful.
2009-04-19T23:28:34-0400	CRBjHq8usvPXqm7cb	192.150.11.111	36296	98.114.205.102	8884	1	1	RETR	ftp://98.114.205.102/./ssms.exe	150	Opening BINARY mode data connection

      发现被攻击者主机在2009-04-19T23:28:34-0400 时刻向攻击者主机请求下载ssms.exe的可执行文件。该传输过程发生在网络会话标志为CRBjHq8usvPXqm7cb的会话中,其中ftp会话的user和password均为1。

      使用bro-cut 查看conn.log

      bro-cut ts uid id.orig_h id.orig_p id.resp_h id.resp_p proto service duration orig_bytes resp_bytes conn_state -d < conn.log

#输出结果如下
2009-04-19T23:28:28-0400	Cdj2f32BEQjUGvaui	98.114.205.102	1821	192.150.11.111	445	tcp	-	0.238169	0	0	SF
2009-04-19T23:28:30-0400	CWSyFXuE10p8cjmef	98.114.205.102	1924	192.150.11.111	1957	tcp	-	2.980258	133	2	SF
2009-04-19T23:28:28-0400	CsHXYgS9c5r9g6xT3	98.114.205.102	1828	192.150.11.111	445	tcp	ntlm	4.938123	4209	902	RSTO
2009-04-19T23:28:33-0400	CRBjHq8usvPXqm7cb	192.150.11.111	36296	98.114.205.102	8884	tcp	ftp	11.136591	77	214	SF
2009-04-19T23:28:34-0400	Cw8rg33xAwn6mL95M3	98.114.205.102	2152	192.150.11.111	1080	tcp	ftp-data	9.954513	158720	0	SF

      其中发现了受害者主机向攻击者主机请求下载ssms.exe的会话CRBjHq8usvPXqm7cb和有害文件传输的会话Cw8rg33xAwn6mL95M3

      综上可以大致推断攻击者和受害者之间的活动。

      首先攻击者(98.114.205.102)尝试连接受害者(192.150.11.111),并进行漏洞利用,控制受害者电脑执行指令,使受害者向攻击者主动发送ftp下载请求,下载有害文件ssms.exe,随后攻击者主机将有害文件通过ftp传输给受害者。

      使用wireshark解析pcap包,发现了攻击者发送给受害者的指令,侧面验证了推断。

      图一

      使用bro-cut打开dpd.log

      bro ts uid id.orig_h id.orig_p id.resp_h id.resp_p proto analyzer failure_reason -d < dpd.log

#输出结果如下
2009-04-19T23:28:29-0400	CsHXYgS9c5r9g6xT3	98.114.205.102	1828	192.150.11.111	445	tcp	SMB	Binpac exception: binpac exception: out_of_bound: SMB1_tree_connect_andx_request:extra_byte_parameters: 60 > 62

      输出结果中检测到了SMB协议识别。

  • 参考资料

jackcily
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
2022年中职组网络安全国赛A模块题目解析
qq_57147160的博客
04-13 8672
2022年全国职业院校技能大赛(中职组) 网络安全竞赛试题 (1) (总分100分) 赛题说明 一、竞赛项目简介 “网络安全”竞赛共分A.基础设施设置与安全加固;B.网络安全事件响应、数字取证调查和应用安全;C.CTF夺旗-攻击;D.CTF夺旗-防御等四个模块。根据比赛实际情况,竞赛赛场实际使用赛题参数、表述及环境可能有适当修改,具体情况以实际比赛发放赛题为准。竞赛时间安排和分值权重见表1。 表1 竞赛时间安排与分值权重 模块编号 模块名.
Windows网络服务CHAP05V10.ppt
11-22
Windows网络服务CHAP05V10.ppt
史上最牛最全的LINUX命令集
热门推荐
luoyanqing119的专栏
05-06 2万+
Unix ToolboxThis document is a collection of Unix/Linux/BSD commands and tasks which are useful for IT work or for advanced users. This is a practical guide with concise explanations, however the re
webstorm运行成功但是网页端口连接打不开_关闭不使用的开放端口以保证电脑安全...
weixin_39554021的博客
12-08 325
端口扫描程序和端口检查器工具主要工作是检查与查找打开的端口和端口状态。开放端口是指用于确认数据包的TCP或UDP端口号,比如网页或FTP服务要求它们的特定端口在服务器上处于“打开”状态,以便可以自由访问。什么是开放端口扫描程序?开放端口扫描器是一种工具,用于检查外部IP地址并识别连接上的开放端口。它用于检测端口转发设置是否正确或防火墙是否阻止了服务器应用程序。端口检查器工具,用于检查网络中通常转发...
CTF 流量包相关-流量分析(1)
qq_56815564的博客
04-28 8670
前面的flag不论是直接给你明文,还是有一定的编码,都是比较简单的,像这些十成甚至九成都会是签到题,所以了解一下知道有这种情况就好,重点不再这边另外这里还是给出一下风佬的脚本吧,虽然我感觉用到的几率应该不会很大,如果要用的话,那个破空查flag的工具应该会比较好用,下载的话,风佬的git里面应该有,这里就不给了。
wirehark数据分析与取证attack.pcap
Aluxian_的博客
04-20 6463
什么是wireshark?wiresharekattack.pcap数据包数据包下载 请私信博主 wiresharek Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是检索取网络封包,并同时显示出最详细的网络封包数据。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 wireshark的介绍: 假设您是一名网络安全工程师,需要对某公司的公司进行数据分析,分析黑客获取电脑权限进行的操作,我们本章主要以分析案例数据包进行分析关键数据。 atta
流量分析(attack.pcapng)
whale_waves的博客
11-14 242
这里找到了登录成功后服务器返回的流量包,查看黑客对服务器发送的流量包就能知道用户名以及密码。一般是找上传页面upload或者直接找黑客对服务器的post传参的数据包。看到这里时能发现黑客堆172.16.1.101进行了sql注入。端口:21 80 23 3389 445 5007。首先筛选出http流量查看黑客进行了哪些操作。这里就要找出黑客向服务器上传的木马了。黑客ip:172.16.1.102。这里筛选出服务器对黑客的tcp流。筛选出黑客对服务器的http流量。用户名:Lancelot。
Linux下使用libpcap进行网络抓包并保存到文件
lvjian_的专栏
03-18 1万+
libpcap是一个抓取网络数据报文的C语言函数库,使用这个库可以非常方便的抓取网络上的报文,方便我们分析经过我们设备上的各种报文; 1.libpcap安装 下载文件:libpcap-x.x.x.tar.gz(这个是linux版本,x.x.x代表版本号) 下载地址:http://www.tcpdump.org/#latest-releases 解压(tar -zxvf) ./c...
Windows网络服务CHAP04V101.ppt
11-21
Windows网络服务CHAP04V101.ppt
Windows网络服务CHAP04V10.ppt
11-21
Windows网络服务CHAP04V10.ppt
chap7.rar_BP网络_chap7_2b
07-14
BP网络模式识别程序包括网络训练程序chap7_2a.m和网络测试程序chap7_2b.m。
Chap01网络数据库应用系统概述(教材).ppt
11-13
Chap01网络数据库应用系统概述(教材).ppt
一道简单的流量分析
weixin_52268949的博客
11-22 5530
流量附件提取 链接:https://pan.baidu.com/s/1oHSbIFiqs6ENmqykzFkEKg 提取码:do7s 1、 使用Wireshark查看并分析attack.pcapng数据包文件,通过分析数据包attack.pcapng找出黑客的IP地址,并将黑客的IP地址作为FLAG(形式:[IP地址])提交: 我们使用http.request.method == GET这个方法来过滤一下GET请求包 发现两个登录页面的请求包一个是172.16.1.10向172.16.1.101发出的请
取证训练(一)
Yale的博客
01-14 1373
0x01 前言 本文章通过动手数据包分析还原网络数据产生现场,通过多种典型电子取证分析的工具的使用来进行溯源分析,通过本次实践促进小伙伴们提高网络安全意识 本文所用流量包来自开源组织Honeynet 0x02 在动手操作之前先给小伙伴们提出以下几个问题: 数据包中涉及哪些系统(以及ip地址)? 请描述你可以从数据包中得出的与攻击机相关的信息 在数据包里有多少tcp 会话? 攻击持续了多长时间 被...
计算机取证
lemonalla的博客
04-18 378
计算机取证 实验目的 进行计算机取证实战体验 实验要求 使用 zeek 来完成取证分析 实验环境 实验拓扑与上一章相同 实验过程 首先进行zeek的安装,由于课本上建议安装zeek,原因是bro改名为zeek了,实验做到一半才发现的这个问题??,顺便为下面的图片文字更正一下,不是不支持bro了,只是换了个名儿! apt-get update # 2019-08-04 之前 a...
ubuntu:Bro 网络分析框架
我的学习笔记
02-28 1440
参考文章:https://mp.weixin.qq.com/s?__biz=MjM5NjQ4MjYwMQ==&amp;mid=2664609207&amp;idx=3&amp;sn=4a0331832b280f2f58644030a8771abe&amp;chksm=bdce8ef18ab907e7c8b2cc6687ec69521cb196de9008...
bro框架--通知框架
Kagamigawa Noelle
11-29 695
原文地址:https://www.bro.org/sphinx/frameworks/notice.html#extending-notice-framework 定制Bro的最简单的方法之一就是写一个本地通知策略。Bro可以探测出很多有趣的情形,通知策略可以挂钩某种情形(用户想要通过某种方式进行操作)。特别是,通知策略可以指定要采取的操作,例如发送邮件或编译常规警报邮件。本文介绍了怎样写通知策...
计算机基础知识学习资料.doc
最新发布
04-16
计算机基础知识学习资料(zff 著)
ubuntu中挂载iscsi网络硬盘 chap认证
09-05
在Ubuntu中挂载iSCSI网络硬盘并进行CHAP认证,您可以按照以下步骤进行操作: 1. 安装iscsi-initiator-utils软件包: 在终端中执行以下命令安装软件包: ``` sudo apt-get install open-iscsi ``` 2. 配置iSCSI initiator: 打开`/etc/iscsi/initiatorname.iscsi`文件,并编辑`InitiatorName`字段,将其设置为您唯一的iSCSI initiator名字。保存并关闭文件。 3. 配置iSCSI target服务器: 获取iSCSI target服务器的IP地址和端口号,以及CHAP认证所需的用户名和密码。 4. 添加iSCSI target服务器: 在终端中执行以下命令来添加iSCSI target服务器: ``` sudo iscsiadm --mode discoverydb --type sendtargets --portal <target-ip>:<target-port> --discover ``` 5. 配置CHAP认证: 使用以下命令设置CHAP认证参数: ``` sudo iscsiadm --mode node --targetname <target-name> --portal <target-ip>:<target-port> --op=update --name node.session.auth.authmethod --value=CHAP ``` 然后执行以下命令来设置CHAP用户名和密码: ``` sudo iscsiadm --mode node --targetname <target-name> --portal <target-ip>:<target-port> --op=update --name node.session.auth.username --value=<chap-username> ``` ``` sudo iscsiadm --mode node --targetname <target-name> --portal <target-ip>:<target-port> --op=update --name node.session.auth.password --value=<chap-password> ``` 6. 连接到iSCSI target: 使用以下命令连接到iSCSI target: ``` sudo iscsiadm --mode node --targetname <target-name> --portal <target-ip>:<target-port> --login ``` 7. 挂载iSCSI设备: 创建一个目录来作为挂载点,然后执行以下命令挂载iSCSI设备: ``` sudo mount /dev/sdX /path/to/mount/point ``` 注意,`/dev/sdX`是从iSCSI设备检测到的磁盘。 现在,您应该成功地在Ubuntu中挂载了iSCSI网络硬盘并进行了CHAP认证。请确保在需要时修改命令中的参数以匹配您的设置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值