WireShark流量分析(中国菜刀,webshell)

最新推荐文章于 2024-06-16 09:39:18 发布
最新推荐文章于 2024-06-16 09:39:18 发布
阅读量4.2k 收藏 20
点赞数 3
分类专栏: 流量分析 文章标签: 安全 php http 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oJiuJieZhong/article/details/113797947
版权
本文通过Wireshark分析了一个包含大量TCP和HTTP数据帧的流量包,揭示了攻击者如何利用预先上传的webshell(xiaoma.php)并通过中国菜刀进行攻击。攻击者对特定IP的POST请求进行操作,尤其是访问了upload目录中的webshell。通过解码发现,攻击者使用中国菜刀建立了完全权限的连接,并尝试访问数据库管理系统,用root账户进行数据库查看。
摘要由CSDN通过智能技术生成

首先拿到这个流量包,还是先对整个包中的帧进行初步的查看,发现为大量的TCP数据帧和HTTP数据帧。

在这里插入图片描述

网络攻击一般来自于web,是web那就一定有http,接下来对http进行筛选
在这里插入图片描述
发现为大量的GET请求,GET请求在实质性的破坏上比POST请求的破坏性小,那接下来再进行对POST请求的筛选。

在这里插入图片描述
发现一个很特殊的数据帧,在访问xiaoma.php,并且一般用户是不会访问到upload文件夹的,接下来对此IP进行筛选,方便查看。

在这里插入图片描述

攻击者通过提前上传一个webshell文件(xiaoma.php),接下来通过使用中国菜刀访问webshell文件从而进行一系列的攻击

最低0.47元/天 解锁文章
oJiuJieZhong
关注
  • 3
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
webshellwireshark
Fort____339的博客
10-20 508
环境需求:php服务、redis服务、apache服务开启 浏览器访问:服务器IP/index.php 利用redis未授权漏洞,进入redis交互模式,输入一句话木马 <?php @eval($_POST['123']);?> 浏览器访问:服务器IP/qwe.php 在windows端 使用chopper进行连接 点击进入,可以看到其中文件 进入虚拟终端: 在虚拟机使用t...
wireshark分析菜刀。其实并没有看懂。。。。。
weixin_44722125的博客
05-05 1809
wireshark简介 Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。 emmm其实就是抓包 Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。网络封包分析软件的功能可想像成 “电工技师使用电表来量测电流、电压、电阻” 的工作 - 只是将场景移植到网络上,并将电线替换成网络线。在...
Wireshark分析获取Webshell流量包
weixin_30898109的博客
05-27 1942
导出对象为http,观察文件名,发现对conf1g.php的访问多的异常 发现他在爆破,爆破一般情况下在最后的密码是正确的密码,得到密码youxiu 爆破成功后进入木马界面 在最后一个包中发现jpg 使用16进制编辑器打开发现flag 转载于:https://www.cnblogs.com/wanao/p/10930478.html...
中国菜刀,蚁剑,哥斯拉,冰蝎的流量特征区别
最新发布
Nove1205的博客
06-16 736
中国菜刀,蚁剑,哥斯拉,冰蝎的流量特征区别
wireshark抓取HTTP的get和post方法流量包
qq_46662528的博客
03-16 4864
下载安装WireShark网络抓包分析工具,并分别用该工具抓取HTTP的get和post两种页面的网络流量包,并将HTTP的request和response里相应各信息内容抓取在实验报告里并解释各内容的功能和含义。
Webshell之蚁剑流量分析
qq_51323560的博客
05-15 2323
--------------------------------------------------------------------------------------------------------------------------------第一次学习webshell流量分析,还请大佬们多多指教。参数1,str参数是指将要进行截取字符操作的字符串。参数3, length参数是说明本次截取操作的长度,(2)分析发现真正有效的字符串是去除头部的2个字母。(3)查看虚拟终端执行的命令。
网络数据分析溯源(WebShell密码)
qq_36933272的博客
09-05 1555
wireshark打开数据包 有题目提示,有人连接过一句话的webshell,猜想可能是asp、php之类的木马 用http.request.method ==“POST” && http contains "php"尝试过滤,发现xiaoma.php 查看发现d76R3478就是webshell的密码 输入密码,得到key ...
Wireshark 分析常见 Web 攻击的流量特征
weixin_51559599的博客
12-08 5163
攻击者在输入字段中插入恶意的 SQL 语句,实现对数据库的增删改查。可以在 http 请求中通过查找 SQL 注入语句中的 union、select、sleep 等关键字来判断 SQL 注入的流量dvwa SQL Injection low 为例poc筛选目的 ip 为靶场服务器并且为 http 的流量找到 SQL 请求的 http 报文可以看到unionselectdatabase等 SQL 注入的关键字解码后即可看到原始 poc。
WebShell工具特征流量分析合集
爱吃仡坨的Blog
10-25 1644
通过编码的数据包1特征,发现是URL编码(BP会自动对其解码显示)还可以通过解码网站对其进行解码,之后分析数据包特征如下图,发现通过蚁剑终端传参之后得到的响应包任然是明文的。
菜刀流量特征分析】
qq_44122254的博客
08-11 2443
菜刀流量分析
中职网络安全2021年国赛Wireshark流量分析题目+capture.pcapng数据包文件
09-15
中职网络安全2021年国赛Wireshark流量分析题目+capture.pcapng数据包文件
WireShark 网络流量分析抓包工具
09-06
- **深入分析**:提供时间线、统计图表和协议层次结构,帮助分析流量模式和问题根源。 - **数据包详细信息**:展示每个数据包的头部信息,包括源和目标地址、端口号、协议类型等。 2. 使用Wireshark进行网络流量...
流量分析工具Wireshark32.zip
05-28
2. **实时分析**:在捕获数据的同时,Wireshark会实时更新显示的数据包列表,方便用户随时查看网络流量。 3. **深度分析**:对单个数据包进行详细分析,查看每个字段的含义和内容,甚至可以进行十六进制查看。 4. **...
流量分析工具Wireshark64.zip
05-28
流量分析工具Wireshark64.zip
wireshark流量分析
02-27
wireshark流量分析
WAF绕过-工具特征-菜刀+冰蝎+哥斯拉
xiaoheizi的博客
08-02 432
硬件型WAF以一个独立的硬件设备的形态存在,支持以多种方式(如透明桥接模式、旁路模式、反向代理等)部署到网络中为后端的Web应用提供安全防护,是最为传统的WAF型态,在受访企业中部署占比为35.2%。国内的绿盟、安恒、启明星辰等老牌厂商旗下的WAF都属于此类。随着云计算技术的快速发展,使得基于云的WAF实现成为可能,在本次调查中占比甚至超过了传统的硬件WAF跃升为第一位,达到39.4%。就是来自网站内部的过滤,直接出现在网站代码中,比如说对输入的参数强制类转换啊,对输入的参数进行敏感词检测啊什么的。
bugkuctf-分析-菜刀
wuerror的博客
02-01 1175
1.打开下载的压缩包,里面是个pcapng文件。用wireshark打开。 先看看http 包比较少而且info里也没什么特别的信息,每个点开看看 在第四个包里发现了一句话,重点来了! 看下一个包,他做了什么。选中第五个包,右键选择追踪HTTP流 base64解码$xx(' ')引号内的内容 发现他尝试读取flag.tar.gz文件,且在头尾输出了X@Y.接着看第六个H...
Wireshark分析菜刀流量包
weixin_30680385的博客
05-25 1453
过滤http发现,共有四条会话(一个POST包一个回包) 查看HTTP流 %开头,url编码,urldecode 将&z0=后的内容进行base64解码 或者可以根据回包推测POST包请求的东西 第一个回包: 显示主机信息,推测使用uname -a命令 第二个回包: 在->| |<-中间的内容为目录,推测使用ls ...
WebShell攻击流程大揭秘: 渗透测试必备技能(网页后门)
热门推荐
weixin_43263566的博客
01-25 1万+
Webshell(网页后门)
wireshark流量分析 例题
12-26
Wireshark是一款开源的网络协议分析软件,可以用来捕获和分析网络流量。通过Wireshark流量分析,我们可以了解网络中传输的数据包的内容、协议类型、源与目的地址、数据大小等信息,从而帮助我们诊断网络问题、优化网络性能、检测网络安全问题等。 Wireshark可以捕获各种网络协议的数据包,包括TCP、UDP、HTTP、FTP等。我们可以通过Wireshark来捕获特定源或目的地址的数据包,也可以过滤特定的协议类型或数据内容,以便更好地观察和分析网络流量。 当我们进行Wireshark流量分析时,首先需要选择合适的网络接口进行数据包捕获。然后,我们可以开始捕获数据包,并在Wireshark的界面上观察捕获到的数据包的详细信息。通过查看数据包的各种字段,我们可以分析出数据包的来源与目的地、传输的协议类型、通信过程中的状态等信息。 除了对网络流量进行实时分析外,Wireshark还提供了一些统计功能,可以帮助我们对捕获的数据包进行更细致的分析。例如,我们可以查看某个特定协议在流量中的占比,或者分析某个特定源地址或目的地址的通信情况等。 总之,通过Wireshark流量分析,我们可以深入了解网络中的数据传输情况,发现潜在的网络问题,提高网络性能,确保网络安全。因此,Wireshark是网络工程师和安全专家必不可少的利器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值