通过wireshark判断web漏洞的流量特征

最新推荐文章于 2024-03-22 23:19:43 发布
最新推荐文章于 2024-03-22 23:19:43 发布
阅读量916 收藏 13
点赞数 12
文章标签: wireshark 测试工具 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60870041/article/details/134896187
版权

sql注入

定位http协议,通过查找get请求定位到关键字
在这里插入图片描述
抓到关键字union select
在这里插入图片描述

xss

定位get请求的关键字
在这里插入图片描述

文件上传

找到对应的上传数据包,追踪tcp流
在这里插入图片描述

文件包含、文件读取

查看url找到包含的关键字
在这里插入图片描述
在根路径写入一个phpinfo();
使用../进行目录遍历
在这里插入图片描述
在这里插入图片描述

ssrf

出现关键字,url=http://,必然是可以执行远程文件
在这里插入图片描述

尝试跳转百度,发现并没有过滤
在这里插入图片描述

使用之前的1.php尝试跳转
在这里插入图片描述

抓取数据包
在这里插入图片描述

shiro反序列化

安装docker环境
apt-get install docker docker-compose
启动docker
service docker start
拉取镜像
docker pull medicean/vulapps:s_shiro_1
启动镜像
在这里插入图片描述

登录网页看到输入框,随便输入抓取流量
在这里插入图片描述

找到数据包,跟踪后发现响应包中存在关键字rememberme=deleteme,可以判断为shiro框架
在这里插入图片描述

使用专门检测shiro漏洞的工具进行攻击

  1. 爆破密钥
    在这里插入图片描述

  2. 爆破利用链
    在这里插入图片描述

  3. 开始命令执行
    在这里插入图片描述

检测payload数据包,cookie后面的就是注入的payload

在这里插入图片描述

jwt

在cookie包头部分会出现一串以base64编码的token值,特征为xx.xx.xx(以两个点分割)
在这里插入图片描述

将JWT放到网站进行修改
在这里插入图片描述

使用burp修改并发送
在这里插入图片描述

查看抓取到的流量
在这里插入图片描述

暴力破解

抓包设置payload
在这里插入图片描述

开始爆破
在这里插入图片描述

爆破时产生的数据包
在这里插入图片描述
在这里插入图片描述

命令执行

请求包
在这里插入图片描述

响应包
在这里插入图片描述

反弹shell

使用蚁剑连接后,这串是攻击payload
在这里插入图片描述

payload解密
在这里插入图片描述

payload获取的响应包数据
在这里插入图片描述

config_星辰
关注
  • 12
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 1万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据包筛选 顶峰相见
[网络安全自学篇] 十三.Wireshark抓包原理(ARP劫持、MAC泛洪)及数据流追踪和图像抓取(二)
热门推荐
杨秀璋的专栏
09-22 3万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Wireshark安装入门和一个抓取网站用户名和密码的案例,本篇文章将继续深入学习Wireshark的抓包原理知识,并分享数据流追踪、专家信息操作,最后结合NetworkMiner工具抓取了图像资源和用户名密码。本文参考了PingingLab陈鑫杰老师的部分内容,非常推荐大家观看他的教程。同时,Bilibili是学习网络安全和编程的好地方喔,大家可以去试试。
web常见漏洞流量分析
m0_72372037的博客
12-09 1325
OS 命令注入也称为 shell 注入。它允许攻击者在运行应用程序的服务器上执行操作系统 (OS) 命令,并且通常会完全破坏应用程序及其数据。通常,攻击者可以利用操作系统命令注入漏洞来破坏托管基础结构的其他部分,并利用信任关系将攻击转移到组织内的其他系统。
wireShark抓取常见web漏洞分析
jj_24的博客
12-09 213
环境:pikachu靶场工具:wireshark
Web漏洞攻击的流量特征
2301_79441074的博客
12-08 136
在kali中可以看到反弹shell到了Centos 7输入反弹shell的路径下。order by 15成功,order by 16失败,说明列数为15。WireShark抓包,抓到关键字script alert。流量分析工具:Wireshark。kali中输入 ls ,再次追踪流,查看到命令。wireshark抓包。抓到关键字order by 16。追踪流看到反弹shell的路径。在wireshark中看到。WireShark抓包。WireShark抓包。访问phpinfo文件。WireShark抓包。
网络安全CTF流量分析-入门7-蚁剑加密流量分析
m0_51198141的博客
11-25 2004
1.连接蚁剑的正确密码2.攻击者留存的值3.攻击者下载到的Flag这道题前期来说比较简单,但是最后一文的Flag可能有点跳脱,但是整体的流量还是比较容易分析的,exe的开头是MZ这一点要注意,否则分割不出正确的文件。写的简陋,欢迎师傅们留言交流补充。
ctf之流量分析学习
一大口木的博客
11-13 2094
链接:https://pan.baidu.com/s/1e3ZcfioIOmebbUs-xGRnUA?pwd=9jmc提取码:9jmc前几道比较简单,是经常见、常考到的类型。
WireShark流量分析(任意文件上传)
oJiuJieZhong的博客
02-12 3695
首先查看整个流量包,发现基本上为TCP和HTTP的流量数据(帧)。 还是老套路,网络攻击一般都是通过web来实现,那就先从http开始筛选。 由下图可知,数据帧都是在做一个正常的网页图片的GET请求,有一些少量的POST请求,那下一步再次筛选POST请求。 这下结果显而易见了,大部分POST请求都在访问一个html文件,而唯独有一个数据帧在对upload文件夹进行上传 点开该数据帧,发现这个一个任意文件上传的漏洞,通过修改content-type来实现绕过,并且攻击者通过漏洞上传了一个一句话木马。
WireShark流量分析(暴力破解)
oJiuJieZhong的博客
02-08 5498
首先查看整个流量包,发现基本上为TCP和HTTP的流量数据。 依据图可知,是大量tcp,少量http,从少的开始 我们熟知对于web中HTTP协议中的POST方式的危害性最大,接下来将流量包进行筛选 发现POST方式中,有一个频繁出现的IP地址一直在进行登录的尝试,现在初步判定为暴力破解 那再次进行筛选,单独将此IP筛选出来 从开始看到结尾,此IP总共进行5秒钟的登录,判定在进行暴力破解 通过数据流量的长度来判断,攻击者是否有成功的破解到账户和密码 如上图可知,数据包的长度与其他的数据流量长度不一
Web安全班作业 | WireShark抓包ARP报文分析并实施ARP中间人攻击
Ms08067安全实验室
09-15 2757
文章来源|MS08067 SRC漏洞实战班课后作业本文作者:某学员A(SRC漏洞实战班1期学员)按老师要求尝试完成布置的作业如下:一、使用WireShark抓包,根据实际数据包,分析ARP...
蓝队技能:Wireshark捕获恶意攻击流量·下篇
qq_61553520的博客
04-13 496
作为蓝队人员,需要熟悉各种恶意攻击流量,需识别web漏洞学习作为基础,才能快速轻松是被出是否被攻击,还需要判断是否攻击成功,然后以此决定是否需要上报。本文将介绍常见web漏洞流量特征,我们需要重点关注webshell得流量,主要是一些主流的webshell连接工具的流量,希望对大家今年的hvv有所帮助。一般数据包的流量会被url编码,如果看着不习惯的话可以先解码再观察。可以在网上找一些url解码工具。
29-4 webshell 流量分析-蚁剑
最新发布
weixin_43263566的博客
03-22 270
上传木马到靶场之前讲过很多次了,这里就不多说了,使用蚁剑连接木马。
Wireshark 分析常见 Web 攻击的流量特征
weixin_51559599的博客
12-08 5553
攻击者在输入字段中插入恶意的 SQL 语句,实现对数据库的增删改查。可以在 http 请求中通过查找 SQL 注入语句中的 union、select、sleep 等关键字来判断 SQL 注入的流量dvwa SQL Injection low 为例poc筛选目的 ip 为靶场服务器并且为 http 的流量找到 SQL 请求的 http 报文可以看到unionselectdatabase等 SQL 注入的关键字解码后即可看到原始 poc。
漏洞复现与流量分析
QYbkx974的博客
12-10 959
这个流量包说访问的地址为127.0.0.1,但是是以目标机的身份访问的,可以理解为本机伪装成目标机对服务器发起请求,查看目标机的本地地址,可以通过协议、请求的资源地址来判断是否为攻击。通常来讲文件包含只允许访问规定的文件,能访问到别的文件就说明存在漏洞,我们可以通过流量包访问的文件是否为规定文件来判断。文件读取和文件包含的流量包大体相同,都是通过访问文件路径,方法通用,区别在于文件读取不能执行文件。命令执行的流量包中可以看到输入的内容,通过输入的内容就可以判断是否为一次攻击。
常见web漏洞流量分析
一个努力学习网安的小牛马
12-10 954
【代码】常见web漏洞流量分析。
wireshark网络分析就这么简单_从wireshark了解蚁剑的工作原理
weixin_39685697的博客
12-10 1300
继续转发我的csdn......早上看到朋友们聊能连jsp的蚁剑,我就顺便回忆了一下蚁剑的工作原理。突然发现,以前看过好几遍的分析文章,脑子都骗了我,告诉我它记住了。还是要自己动手分析一下,不然脑子总是欺骗我。1. 我已经在本地搭建好了环境,并放入了一句话马。2. 蚁剑连接并同时用wireshark抓取流量。3.追踪tcp流:4.往下翻一翻,发现了:5.因为我们的一句话是$_POST[‘...
蚁剑流量分析
m0_56937298的博客
04-03 5717
通过Wireshark分析蚁剑一句话木马
网络攻防之wireshark抓取登录信息
折翼高飞,如影随形
06-07 4229
使用wireshark抓取登录信息 简介: Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛
使用Wireshark抓包工具
xiaowenliuwen的博客
07-03 494
//网络数据包结构头 struct NetMessageHead { UINT uMessageSize; ///数据包大小 UINT uMainID; ///处理主类型 UINT uAssistantID; ...
如何通过Wireshark判断无线网络干扰
02-15
通过Wireshark可以判断无线网络干扰的一些常见方法如下: 1. 观察信号强度:在Wireshark中,可以查看无线数据包的信号强度。如果信号强度波动较大或者信号强度较低,可能是由于干扰引起的。 2. 检查频道利用率:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值