Wireshark基本使用
打开wireshark可以看到多种捕获选项,根据不同的需求选择合适的捕获选项(刚开始学习的时候没有分辨好不同捕获选择项之间的区别,一味的跟着选择wlan,结果自己在虚拟机上搭建的靶机完全抓不到包,当时居然以为是wireshark或者自己搭建的靶机的问题,完全没有想过是不是自己捕获选项没有选择正确,耽误了大量的时间,后来用phpstudy起本地靶机再次出现这个问题时就很轻松解决。)
选择好捕获选项之后接下来wireshark就开始自动抓包了
上边的数据包先不做分析,先看下边的封包详细信息。
从上到下依次是:
- 物理层的数据帧详细概要(包括:接口id,捕获的时间和日期,帧序号,帧长度,是否做了标记,是否被忽略,封装的协议结构层次等各种信息。)
- 数据链路层以太网帧的头部信息:主要有目标mac地址,源mac地址
- 网络层IP头部包信息:主要包括互联网协议,源IP地址,目标ip地址
- 传输层数据包头部信息:主要包括源端口,目标端口。
以上信息感觉对于初学者的我来说没有什么用,现在的我一般看的只有应用层的相关内容,接下来以应用层的http协议进行分析。
(报文分析)从上往下看:GET为请求方式后边跟请求的内容,Host后边为请求的主机名,user-agent为发送请求的操作系统、以及浏览器信息,Referer为客户端可识别的内容类型列表,用于指定客户端接受哪些类型的信息判断来源页面。
响应报文:从上往下看,200表示客户端请求成功,server服务器信息,content-type告诉客户端实际返回的内容类型,line-based test data:text/html基于行的文本数据。
东西还是挺多的吧,但还是感觉写不出来。
Wireshark使用中经常用到的协议分析
Arp协议
地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的,局域网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;由此攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。
详细信息:彻底搞懂系列之:ARP协议 - 知乎 (zhihu.com)
ICMP协议
ICMP是 Internet Control Message Protocol 的缩写,即互联网控制消息协议。它是互联网协议族的核心协议之一。它用于 TCP/IP 网络中发送控制消息,提供可能发生在通信环境中的各种问题反馈,通过这些信息,使网络管理者可以对所发生的问题作出诊断,然后采取适当的措施解决问题。虽然 ICMP 是网络层协议,但是它不像 IP 协议和 ARP 协议一样直接传递给数据链路层,而是先封装成 IP 数据包然后再传递给数据链路层。所以在 IP 数据包中如果协议类型字段的值是 1 的话,就表示 IP 数据是 ICMP 报文。IP 数据包就是靠这个协议类型字段来区分不同的数据包的。在 IP 通信中如果某个包因为未知原因没有到达目的地址,那么这个具体的原因就是由 ICMP 负责告知。而 ICMP 协议的类型定义中就清楚的描述了各种报文的含义。
详细信息:深入理解ICMP协议 - 知乎 (zhihu.com)
TCP 协议
TCP 是面向连接的运输层协议。应用程序在使用 TCP 协议之前,必须先建立 TCP 连接。在传送数据完毕后,必须释放已经建立的 TCP 连接,每一条 TCP 连接只能有两个端点,每一条 TCP 连接只能是点对点的(一对一),TCP 提供可靠交付的服务。通过 TCP 连接传送的数据,无差错、不丢失、不重复,并且按序到达,TCP 提供全双工通信。TCP 允许通信双方的应用进程在任何时候都能发送数据。TCP 连接的两端都设有发送缓存和接受缓存,用来临时存放双向通信的数据,面向字节流。TCP 中的“流”指的是流入到进程或从进程流出的字节序列。
Udp协议
UDP(UserDatagramProtocol)是一个简单的面向消息的传输层协议,尽管UDP提供标头和有效负载的完整性验证(通过校验和),但它不保证向上层协议提供消息传递,并且UDP层在发送后不会保留UDP 消息的状态。因此,UDP有时被称为不可靠的数据报协议。如果需要传输可靠性,则必须在用户应用程序中实现。
UDP使用具有最小协议机制的简单无连接通信模型。UDP提供数据完整性的校验和,以及用于在数据报的源和目标寻址不同函数的端口号。它没有握手对话,因此将用户的程序暴露在底层网络的任何不可靠的方面。如果在网络接口级别需要纠错功能,应用程序可以使用为此目的设计的传输控制协议(TCP)。
DNS 协议
详细信息:超详细 DNS 协议解析 - 知乎 (zhihu.com)
HTTP 协议
HTTP协议(超文本传输协议HyperText Transfer Protocol),它是基于TCP协议的应用层传输协议,简单来说就是客户端和服务端进行数据传输的一种规则。HTTP 是一种无状态 (stateless) 协议, HTTP协议本身不会对发送过的请求和相应的通信状态进行持久化处理。这样做的目的是为了保持HTTP协议的简单性,从而能够快速处理大量的事务, 提高效率。
然而,在许多应用场景中,我们需要保持用户登录的状态或记录用户购物车中的商品。由于HTTP是无状态协议,所以必须引入一些技术来记录管理状态,例如Cookie。
详细信息:深入理解HTTP协议 - 知乎 (zhihu.com)
FTP 协议
FTP(File Transfer Protocol):是应用层的一个文件传输协议 。主要作用是在服务器和客户端之间实现文件的传输和共享。FTP协议运行在TCP连接上,保证了文件传输的可靠性。在传输时,传输双方的操作系统、磁盘文件系统类型可以不同。FTP协议:允许TCP/IP网络上的两台计算机之间进行文件传输。而FTP服务是基于FTP协议的文件传输服务。工作时,一台计算机上运行FTP客户端应用程序,另一台计算机上需要运行FTP服务器端程序。只有拥有了FTP服务,客户端才能进行文件传输。
详细信息:计算机网络基础知识——【FTP协议】概述篇 - 知乎 (zhihu.com)
Wireshark过滤器的使用
常用语法
类型:host port;方向:src dst ;协议:arp,icmp,tcp,udp,dns,http,ftp;逻辑运算符: &&(与)、|| (或) 、 !(非);
掌握了基本语法下面开始具体操作。
基本使用
抓取源ip为192.168.253.1的数据包
ip.src == 192.168.253.1
同样抓取ip为192.168.253.1的数据包方法一样。
ip.dst == 192.168.253.1
抓取目标ip或源ip为192.168.253.1的数据包
ip.addr == 192.168.253.1
筛选目标ip或源ip为192.168.253.2且为http协议的数据包
筛选目标ip或源ip为192.168.253.2且为tcp协议80端口的数据包
过滤器的用法很多,目前所用到的基本只有上面这些,今后对过滤器的使用还需要继续学习和尝试。
用以上的一些基础知识本人也尝试对wireshark抓取的数据包进行了一些分析。
Wireshark的尝试使用
Sql注入&&xss
以在虚拟机上搭建的靶机来进行sql注入与xss相关的分析。
先筛选出http协议的数据包
可以看出攻击者执行的指令。
接下来查看响应头和响应体:
响应头中响应码为200或500服务器响应成功,但无法单凭响应码判断攻击payload是否执行。
id=1后面加单引号使得页面报错,说明url无法正常解析或程序无法正常从数据库中查询出数据,所以抛出异常。其中服务器返回的响应体信息中表明网站使用的数据库为MYSQL,末尾limit0,1为限制显示的行数为1行。表明网站存在报错注入漏洞!
使用了order by 3和order by 4猜解字段数,根据回显内容的不同,确定查询结果中的字段数为3个。
构造union联合查询,并且获得了我们想得到的数据,由此可以进行下一步的入侵。
根据第一步页面回显“limit0,1”的含义,然后使用联合查询输出后面payload中的内容。又通过order by探测到存在三个字段,用数字1将第一个字段进行占位,在第2,3个字段中用我们想得到的内容占位,从响应体中可以看到成功打印出了数据库名,字段名,数据库位置等信息。
其他种类的sql注入总体相差不大,不过多分析。
xss
查看响应头和响应体
响应头中响应码为200,响应体中是否将请求的内容完整打印。
复制响应体内容,将其转为html界面,得到如下结果。
存储型XSS和反射型XSS分析方法类似,可访问攻击者写入的网站页面进行查看确认。
文件上传
php一句话木马
Asp一句话木马
Aspx一句话木马
Jsp一句话木马
蚁剑连接后门特征。
317
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
