Wireshark之攻击流量分析

已于 2023-04-10 21:16:32 修改
阅读量3.3k 收藏 37
点赞数 4
文章标签: wireshark php 网络
于 2023-03-10 20:04:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52486507/article/details/129444318
版权

Wireshark之攻击流量分析

1.题目

1.使用Wireshark查看并分析Windows 7桌面下的logs.pcapng数据包文件,通过分析数据包attack.pcapng找
出恶意用户目录扫描的第9个文件,并将该文件名作为Flag值
2.继续查看数据包文件logs.pacapng,分析出恶意用户扫描了哪些端口,并将全部的端口作为Flag值(形式:
[端口名1,端口名2,端口名3…,端口名n])从低到高提交;
3.继续查看数据包文件logs.pacapng分析出恶意用户读取服务器的文件名是什么,并将该文件名作为Flag值
(形式:[robots.txt])提交;
4.继续查看数据包文件logs.pacapng分析出恶意用户写入一句话木马的路径是什么,并将该路径作为Flag值
(形式:[/root/whoami/])提交;
5.继续查看数据包文件logs.pacapng分析出恶意用户连接一句话木马的密码是什么,并将一句话密码作为Flag
值(形式:[一句话密码])提交;
6.继续查看数据包文件logs.pacapng分析出恶意用户下载了什么文件,并将文件名及后缀作为Flag值(形式:
[文件名.后缀名])提交;
7.继续查看数据包文件logs.pacapng将恶意用户下载的文件里面的内容作为Flag值(形式:[文件内容])提交。

2.过程及解析

1.使用Wireshark查看并分析Windows 7桌面下的logs.pcapng数据包文件,通过分析数据包attack.pcapng找出恶意用户目录扫描的第9个文件,并将该文件名作为Flag值

具体步骤:
因为扫目录常用http请求方式为:head、get、post
请求报文的请求头通常为head,使用http.request.method==HEAD过滤
然后按照时间顺序来查看恶意用户访问了哪些文件,并找出第9个文件的文件名。这个文件名就是需要提交的Flag值 Flag:[star.php]

在这里插入图片描述
2.继续查看数据包文件logs.pacapng,分析出恶意用户扫描了哪些端口,并将全部的端口作为Flag值(形式:[端口名1,端口名2,端口名3…,端口名n])从低到高提交;

具体步骤:
可以看到这里这里只有http和tcp协议,通过ip.src == 172.16.1.10 && tcp 查找
可以很容易看出Flag价值:Flag:[21,80,445,1433,3306,3389,5000]

在这里插入图片描述
3.继续查看数据包文件logs.pacapng分析出恶意用户读取服务器的文件名是什么,并将该文件名作为Flag值(形式:[robots.txt])提交;

具体步骤:
因为http请求就三种head,post,get且题目提示为.txt文件,所以我就通过http.request.method == POST/HEAD/GET && http.request.uri contains".txt" 过滤,结果就GET 有。如下图:所以Flag为:Flag:[name.txt]

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
4.继续查看数据包文件logs.pacapng分析出恶意用户写入一句话木马的路径是什么,并将该路径作为Flag值 (形式:[/root/whoami/])提交;

具体步骤:因为上个题目可知只有GET请求,而且一句话木马里面有eval字样,所以我就通过http.request.method == GET && http.request.uri contains"eval"这个过滤,不出所料直接找到了:

在这里插入图片描述

然后打开追踪流复制里面的东西进行URL解码:

在这里插入图片描述
在这里插入图片描述

直接就可以看到路经
所以Flag为:Flag:[C:/phpstudy/www/]

5.继续查看数据包文件logs.pacapng分析出恶意用户连接一句话木马的密码是什么,并将一句话密码作为Flag 值(形式:[一句话密码])提交;

具体步骤:可以通过上面的知道Flag为:Flag:[007]

6.继续查看数据包文件logs.pacapng分析出恶意用户下载了什么文件,并将文件名及后缀作为Flag值(形式: [文件名.后缀名])提交;

具体步骤:可以同上面一个一句话木马知道是通过post请求的然后通过http.request.method == POST 过滤

在这里插入图片描述

发现第三个有文件:

在这里插入图片描述

所以Flag的值:Flag:[flag.zip]

7.继续查看数据包文件logs.pacapng将恶意用户下载的文件里面的内容作为Flag值(形式:[文件内容])提交。

具体步骤:我们直接可以同过提取里面的内容下载到本地也可以直接看通过tcp流看出里面的内容:

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

也可以直接看:

在这里插入图片描述

所以Flag值:
Flag:[flag{Find You!}]

长安风生
关注
  • 4
    点赞
  • 37
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
WireShark 网络流量分析抓包工具
09-06
Wireshark是一款强大的网络流量分析工具,被广泛应用于网络安全、故障排查和性能优化等领域。它以前的名字是Ethereal,由于其开源、免费且跨平台的特性,深受全球IT专业人士的喜爱。下面将详细介绍Wireshark的功能、...
流量分析工具Wireshark32.zip
05-28
作为流量分析工具,它能够捕获并显示网络通信数据的详细信息,帮助用户深入理解网络流量的行为和模式。 Wireshark的核心功能在于其封包捕获能力。通过与操作系统底层的网络接口驱动交互,Wireshark可以实时获取到...
追踪攻击数据包中的真实IP地址:方法与技巧
m0_73834612的博客
05-07 553
安全人员可以通过配置网络设备或使用专门的流量记录工具,将网络流量和连接信息记录到日志文件中,然后通过分析日志文件,确定攻击数据包的源IP地址和传输路径,从而找到攻击者的真实IP地址。通过查看数据包的头部信息、数据内容和传输路径,可以发现攻击者留下的痕迹,帮助追踪其真实IP地址。追踪攻击数据包中的真实IP地址是一项具有挑战性的任务,但通过合理利用网络分析工具、流量记录、逆向代理、网络协议分析等方法和技巧,安全人员可以有效地找到攻击者的真实IP地址,从而及时应对网络安全威胁,提高网络安全防御水平。
wirehark数据分析与取证flag.pcap
Aluxian_的博客
04-18 1万+
什么是wireshark?wiresharekflag.pcap数据包数据包下载 请私信博主 wiresharek Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是检索取网络封包,并同时显示出最详细的网络封包数据。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 wireshark的介绍: 假设您是一名网络安全工程师,需要对某公司的公司进行数据分析分析黑客获取电脑权限进行的操作,我们本章主要以分析案例数据包进行分析关键数据。 flag.p
最全Wireshark网络抓包分析_wireshark抓包数据怎么看,想给金三银四找工作的程序员几点建议
最新发布
2401_84978645的博客
05-16 1550
ICMP(Internet Control Message Protocol)网际报文控制协议,用于传输错误报告控制信息,对网络安全有极其重要的意义。例如请求的服务不可用、主机或路由不可达,ICMP协议依靠IP协议来完成任务,是IP协议的一个集成部分。通常不被用户网络程序直接使用,多用于ping和tracert等这样的诊断程序。UDP(User Datagram Protocol)用户数据报协议,提供面向事务的简单不可靠信息传送服务。将网络数据流压缩成数据包的形式。
wireshark网络安全流量分析基础
2201_75719295的博客
04-07 1914
作为网络流量安全分析的好工具,功能其实也很多,本次分享的只是一些常见功能,如果对网络流量安全分析感兴趣,可以多去使用wireshark研究攻击数据包特征,可以先从简单web攻击数据包开始,再去看看一些窃密、木马、APT相关数据包,后面我也会慢慢分享一些关于分析威胁流量包的文章,也是记录自己的一个学习过程。其他协议相关文件也一样。海量数据中要想能察觉到可疑通信,找到攻击的蛛丝马迹,那就需要对一些端口、协议、请求方式和攻击特征等进行过滤,不断缩小可疑流量范围,才能更好进一步分析达到最终溯源的目的。
Wireshark 分析常见 Web 攻击的流量特征
weixin_51559599的博客
12-08 4852
攻击者在输入字段中插入恶意的 SQL 语句,实现对数据库的增删改查。可以在 http 请求中通过查找 SQL 注入语句中的 union、select、sleep 等关键字来判断 SQL 注入的流量dvwa SQL Injection low 为例poc筛选目的 ip 为靶场服务器并且为 http 的流量找到 SQL 请求的 http 报文可以看到unionselectdatabase等 SQL 注入的关键字解码后即可看到原始 poc。
检测和分析网络攻击
Galaxy_0的博客
10-07 1415
网络攻击是一种严重的网络安全问题,可以对企业和个人造成严重的损失。检测和分析网络攻击是保障网络安全的重要环节之一。本文介绍了网络攻击的常见类型和检测方法,以及Wireshark网络攻击分析中的应用和使用技巧。希望本文能够帮助读者更好地理解网络攻击网络安全,并提供有用的分析工具和方法。
【2024版】最新超详细Wireshark安装保姆级教程,Wireshark抓包(网络分析),收藏这一篇就够了
Libra1313的博客
01-23 6360
说明:数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏View --> Coloring Rules。如下所示WireShark 主要分为这几个界面Display Filter(显示过滤器), 用于设置过滤条件进行数据包列表过滤。菜单路径:Analyze --> Display Filters。Packet List Pane(数据包列表), 显示捕获到的数据包,每个数据包包含编号,时间戳,源地址,目标地址,协议,长度,以及数据包信息。不同协议的数据包使用了不同的颜色区分显示。
中职网络安全2021年国赛Wireshark流量分析题目+capture.pcapng数据包文件
09-15
中职网络安全2021年国赛Wireshark流量分析题目+capture.pcapng数据包文件
Suricata + Wireshark离线流量日志分析
10-06
在离线流量分析场景下,Wireshark可以打开由Suricata或其他数据包捕获工具生成的.pcap文件,进一步进行深度分析。用户可以通过过滤器快速定位感兴趣的数据包,查看特定主机或服务的通信,分析异常行为,或者检查特定...
wireshark抓包分析过程
05-06
通过wireshark抓包分析http数据包 解析帐号密码通
wireshark数据分析
04-04
Wireshark中,你可以过滤出FTP流量,以便查看和分析。输入"ftp"或"port 21"到过滤器栏,即可只显示与FTP相关的数据包。通过这些数据包,你可以查看FTP命令交互,如USER、PASS、LIST等,分析文件上传和下载的过程。...
wireshark数据包分析与取证attack.pcapng
m0_74025111的博客
08-31 852
7.继续查看数据包文件attack.pacapng提取出黑客下载的文件,并将文件里面的内容为FLAG(形式:【文件内容】)提交: FLAG:【Manners maketh man】直接筛选黑客IP:ip.addr == 172.16.1.102 FLAG: 21 80 3389 445 5007。方法:使用binnwalk -e attack.pcapng 再将kali数据包中的flag文件分离出来就ok啦!
wireshark数据包分析 中职网络安全
zx66661的博客
03-08 7887
使用Wireshark查看并分析PYsystemWH1桌面下的captureWH.pcapng数据包文件,找出黑客获取到的可成功登录目标服务器FTP的账号密码,并将黑客获取到的账号密码作为Flag值(用户名与密码之间以英文逗号分隔,例如:root,toor)提交; 扫描靶机可知靶机是windows7,我们可用ms17-010漏洞 设置完成,攻击靶机 格式:For /r (磁盘C:\) %i in (*.后缀) do @echo %i /r 搜索磁盘 in:在 *:全...
wireshark数据分析-attack.pcapng
qq_56025677的博客
06-20 543
2.获取数据包attack.pcapng,分析黑客通过哪些服务着手攻击,将黑客暴力破解的服务名称及获取到的靶机密码作为flag提交(例:telnet,123456)5.获取数据包attack.pcapng,分析黑客获取了shell之后,倒数第二条命令代表了SSH协议的版本,将SSH协议版本作为flag提交;​​​​​​4.获取数据包attack.pcapng,分析黑客获取shell之后,查看了什么文件,将查看的文件名作为flag提交;用此查询方式就可以出现端口号 按照题目要求排序就可以了!
会查找吗---流量分析
weixin_73625393的博客
10-25 421
题目要求:1.将文件下载解压,使用wireshark打开该文件wireshark搜索框中输入:tcp.connection.syn,按Ctrl+F,选择为字符串,输入:flag2.接着点击Protocol,对协议进行分类排序,然后向下查找,发现了Modbus/TCP协议右键,追踪流---TCP流对该流进行搜索分析,搜索不到flag,向下查找,发现flag为正确的flag:ctf{Easy_Mdbus}提交成功
流量分析(dump.pcapng)
weixin_72466436的博客
04-02 1583
流量分析
CTF——流量分析题型整理总结
热门推荐
小锤队长的博客
12-19 4万+
我见过的流量分析类型的题目总结: 一,ping 报文信息 (icmp协议) 二,上传/下载文件(蓝牙obex,http,难:文件的分段上传/下载) 三,sql注入攻击 四,访问特定的加密解密网站(md5,base64) 五,后台扫描+弱密码爆破+菜刀 六,usb流量分析 七,WiFi无线密码破解 八,根据一组流量包了解黑客的具体行为 例题: 一,ping 报文信息 (icm...
结合wireshark分析syn_flood攻击流量
06-01
Wireshark分析Syn Flood攻击流量,可以通过以下步骤进行: 1. 打开Wireshark,选择要分析网络接口,点击"Start"按钮开始捕获网络数据包。 2. 在Wireshark的过滤器中输入过滤条件"tcp.flags.syn==1",这样可以只显示SYN连接请求数据包。 3. 如果受到Syn Flood攻击,可以看到大量的SYN连接请求数据包,但是没有相应的ACK确认数据包。 4. 可以右键点击其中一个SYN连接请求数据包,选择"Follow",再选择"TCP Stream",这样可以查看该连接的整个TCP流。 5. 如果发现大量的SYN连接请求来自同一个源IP地址,而且没有相应的ACK确认数据包,那么很有可能是受到了Syn Flood攻击。 6. 在Wireshark中可以进一步分析攻击流量的特征,如源IP地址、目标IP地址、目标端口号等。 需要注意的是,Wireshark只能显示网络数据包,不能直接防御Syn Flood攻击,需要采取其他措施来缓解攻击

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值