蓝队技能:Wireshark捕获恶意攻击流量·下篇

最新推荐文章于 2024-08-03 21:32:06 发布
最新推荐文章于 2024-08-03 21:32:06 发布
阅读量464 收藏 9
点赞数 2
文章标签: wireshark 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61553520/article/details/130094937
版权

        作为蓝队人员,需要熟悉各种恶意攻击流量,需识别web漏洞学习作为基础,才能快速轻松是被出是否被攻击,还需要判断是否攻击成功,然后以此决定是否需要上报。

        本文将介绍常见web漏洞流量特征,我们需要重点关注webshell得流量,主要是一些主流的webshell连接工具的流量,希望对大家今年的hvv有所帮助。其实只要需要熟悉常见web漏洞的payload以及对response数据包进行分析即可。

        一般数据包的流量会被url编码,如果看着不习惯的话可以先解码再观察。可以在网上找一些url解码工具。

SQL注入

        因为攻击者看见一些框框,就想sqlmap跑一下,这里面鱼龙混杂,我们需要仔细辨别。主要依赖于你对SQL注入漏洞的了解,主要是各种的注入手法以及注入的位置。

  • 注入手法:堆叠,联合,延时,布尔,报错,宽字节等
  • 注入位置:GET,POST,Cookie等数据包位置

如果你对这两者掌握不错,相信SQL注入的流量你一定能轻松识别,但如果你对这些这些掌握并不全面,也可以根据一些特定的字段

select,union,limit,sleep(),concat(),length(),mid(),ord()等

还有在GET请求中的参数,需要关注。

XSS漏洞

        XSS常见payload:xss常用Payload总结_xss payload_csd_ct的博客-CSDN博客

        主要关注一些常见的标签即可,主要依赖js脚本,关注一些常见js标签即可。

文件上传

        需要关注数据包的filename字段以及content-type字段,还有重点关注数据包的实体内容,往往包含有webshell代码,往往带有一些混淆,需要仔细看看,尤其是一些以文件类型是jsp,php的,要格外关注,并且要看看返回包的内容。

文件包含

        要注意一些数据包参数里面的远程地址,文件路径

弱口令爆破

        这一般是爆破账号密码,如果数量过多要及时进行ip封禁,数据包特征一般是post,而且清晰明显

命令/代码执行

        主要关注一些数据包的用户可控参数位置,如果看见 eval ,system 以及一些脚本后门代码,win系统或者linux系统的命令,就要格外小心了,一定要仔细看看返回包是否执行成功,不能仅以数据包的状态表示码来判断。

Webshell

主流的webshell连接工具,一般是哥斯拉,蚁剑,冰蝎。

这一块我把三款工具的使用和流量特征各写了一篇文章,下面是连接。

攻防兼备:Godzilla使用指南及流量特征_貌美不及玲珑心,贤妻扶我青云志的博客-CSDN博客
攻防兼备:Behinder使用指南及流量特征_貌美不及玲珑心,贤妻扶我青云志的博客-CSDN博客


攻防兼备:中国蚁剑使用指南及特征流量_貌美不及玲珑心,贤妻扶我青云志的博客-CSDN博客

Dao-道法自然
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
使用WireShark分析HTTP协议时几种常见的汉字编码及其解码方法小结
平凡之路
07-07 2万+
使用WireShark分析HTTP协议时几种常见的汉字编码 本文由CSDN-蚍蜉撼青松【主页:http://blog.csdn.net/howeverpf】原创,转载请注明出处!           在使用WireShark分析HTTP协议的过程中,我们自然是首先要完成解密(若是使用了SSL)、重组(若是使用了chunked分段编码)、解压(若是使用了压缩编码)【幸运的是,除了加解密,这一系...
Wireshark 分析常见 Web 攻击流量特征
weixin_51559599的博客
12-08 5059
攻击者在输入字段中插入恶意的 SQL 语句,实现对数据库的增删改查。可以在 http 请求中通过查找 SQL 注入语句中的 union、select、sleep 等关键字来判断 SQL 注入的流量dvwa SQL Injection low 为例poc筛选目的 ip 为靶场服务器并且为 http 的流量找到 SQL 请求的 http 报文可以看到unionselectdatabase等 SQL 注入的关键字解码后即可看到原始 poc。
web常见漏洞流量分析
m0_72372037的博客
12-09 1288
OS 命令注入也称为 shell 注入。它允许攻击者在运行应用程序的服务器上执行操作系统 (OS) 命令,并且通常会完全破坏应用程序及其数据。通常,攻击者可以利用操作系统命令注入漏洞来破坏托管基础结构的其他部分,并利用信任关系将攻击转移到组织内的其他系统。
蓝队技能Wireshark捕获恶意攻击流量·上篇
qq_61553520的博客
04-09 911
过滤器:可以根据特定的IP,端口,协议等搜索特定的数据包摁下Ctrl+F会弹出筛选选项,可以指定内容筛选数据包。将主要叙述一些过滤器的用法。
蓝队特征样本分析浅谈
m0_60571990的博客
02-27 365
蓝队特征样本分析浅谈
流量数据特征相关与攻击
lijieling123的博客
04-01 3816
数据包 根据网络协议的类型,数据包有不同的格式。数据包通常由两部分组成:数据包报头和它的有效负载 报头负责引导包在网络中传输,并标记包的源信息。在许多数据收集方法中,报头对于识别和过滤数据包变得很重要。一些基于报头的方法,根据报头中包含的IP地址、端口和协议将数据包分类为多个流。有效负载包含在通信各方之间交换的数据,尽管其中一些数据可以被加密 libpcap函数库提供了收集数据包流的所有内容的功能 网络流量的最小传输单元是一个包,每个包包括一个或多个报头和一个有效负载。例如,超文本传输协议(HTTP)包包
使用WireShark分析HTTP协议时几种常见的汉字编码
cloud 的学习时代
09-20 4934
在使用WireShark分析HTTP协议的过程中,我们自然是首先要完成解密(若是使用了SSL)、重组(若是使用了chunked分段编码)、解压(若是使用了压缩编码)【幸运的是,除了加解密,这一系列的工作都已经在Wireshark1.8以后的版本中得到了支持】 ,得到一个基本可直接识别的HTTP报文。但此时的报文中还是会有一些部分内容,他们有着固定地格式,表面看起来也是ASCII字符,但是实际表达的
通过wireshark判断web漏洞流量特征
m0_60870041的博客
12-09 895
学会使用wireshark分析web漏洞流量特征
mbtm:攻击流量模拟用迷惑蓝队分散蓝队优势逐渐取代真实攻击流量
03-04
【mbtm:攻击流量模拟工具】是Python编程语言开发的一款工具,主要用于模拟各种网络攻击流量,如WEBSHELL上传和SQL注入(SQLLI)等,以此来混淆视听,分散蓝队安全防御注意力。在网络安全领域,蓝队通常代表防守方...
蓝队技巧:查找被隐藏的Windows服务项1
08-03
网络安全领域,蓝队的任务是保护系统免受攻击,而红队则扮演攻击者的角色进行模拟攻击。在本文中,我们将关注蓝队如何检测隐藏的Windows服务,这是红队经常用来隐藏恶意活动的一种方法。隐藏服务可以绕过常规的...
HW红蓝对抗:蓝队视角下的防御体系构建.zip
03-16
本手册通过归纳总结蓝队防御的三个阶段(备战、实战、战后整顿)、 应对攻击的常用策略,以及建立实战化的安全体系的基本方法,帮助政企机构弥补薄弱环节,更好地提升演习水平,构筑更有效的安全防御体系。
奇安信:蓝队视角下的防御体系构建.pdf
07-17
奇安信:蓝队视角下的防御体系构建 奇安信:蓝队视角下的防御体系构建 奇安信:蓝队视角下的防御体系构建
奇安信:红队、蓝队、紫队
08-26
奇安信:红队、蓝队、紫队 奇安信:红队、蓝队、紫队 奇安信:红队、蓝队、紫队
网络安全kali渗透学习 web渗透入门 WireShark抓包及常用协议分析
qq_53058639的博客
09-28 281
1、混杂模式概述:混杂模式就是接收所有经过网卡的数据包,包括不是发给本机的包,即不验证MAC地址。普通模式下网卡只接收发给本机的包(包括广播包)传递给上层程序,其它的包一律丢弃。一般来说,混杂模式不会影响网卡的正常工作,多在网络监听工具上使用。2、关闭和开启混杂模式方法关闭和开启混杂模式前,需要停止当前抓包。如下,停止捕获。在程序的工具栏中点击“ 捕获 ”—》“ 选项 ”在选项设置界面中的“ 输出 ”设置栏的左下方勾选“ 在所有接口上使用混杂模式 ”这样就开启了。默认就是开启混杂模式。
Wireshark获取页面内所有URL
weixin_44175531的博客
05-20 1万+
Wireshark获取页面内所有URL 1.配置Wireshark,解密SSL 1.1配置环境变量,SSLKEYLOGFILE。 1.1.1先在C盘目录下新建文件夹“tls_key”,在“tls_key”文件夹内新建“tlslog.log”文件。 1.1.2新建系统变量。 桌面点击 此电脑->属性->高级系统设置->环境变量->新建系统变量->最后应用、确定即可。 1.2Wireshark新版本配置TLS文件路径,旧版本可以配置SSL文件路径(区分新旧版本:新版本Protoco
wireshark网络分析就这么简单_从wireshark了解蚁剑的工作原理
weixin_39685697的博客
12-10 1290
继续转发我的csdn......早上看到朋友们聊能连jsp的蚁剑,我就顺便回忆了一下蚁剑的工作原理。突然发现,以前看过好几遍的分析文章,脑子都骗了我,告诉我它记住了。还是要自己动手分析一下,不然脑子总是欺骗我。1. 我已经在本地搭建好了环境,并放入了一句话马。2. 蚁剑连接并同时用wireshark抓取流量。3.追踪tcp流:4.往下翻一翻,发现了:5.因为我们的一句话是$_POST[‘...
wireshark过滤使用及常见网络攻击检测过滤
weixin_40111182的博客
12-30 1249
1、wireshark过滤方法:抓包过滤和显示过滤 1、抓包过滤:设置抓包条件,只抓取符合条件的报文 模块功能及使用介绍: 1、选择抓包接口(选取网卡) 2、抓包过滤条件:(须知:五元组(元素)确定一条流量)         5个元素:源目ip、源目port、协议。         3个逻辑符:与、或、非 可填写: tcp udp host 192.
hw蓝队初级面试总结
热门推荐
G208_522的博客
05-27 1万+
1、sql注入原理、分类、绕过 原理:产生sql注入漏洞主要因为没有对接受到的参数进行过滤、验证和处理直接拼接到了sql语句中,然后直接执行该sql语句,这样就会导致恶意用户传入一些精心构造的sql代码,与后台sql语句拼接后形成完整的sql语句执行,达到攻击者的目的。 分类:我们可以把sql注入直接的分为字符型和数字型,主要特点就是在进行sql注入的时候是否需要闭合传参的单引号,不需要闭合说明是数值型,反之就是字符型;还可以将sql注入分为有回显的注入和无回显的注入,无回显的注入又别称为盲注,盲注有三大
Wireshark 抓 CAN 总线】Wireshark 抓取 CAN 总线数据的实现思路
最新发布
一只爱做笔记的码农
08-03 100
然后,用你熟悉的语言写一个 Windows 命名管道服务器的“转换器”,将你的调试工具对接到 Windows 命名管道服务器上,然后按照 Wireshark 中对于数据格式的定义进行编码,然后 Wireshark 就可以通过监听对应的命名管道服务器来实现对数据的接收和展示了。你需要将从命名管道服务器上发出的数据进行一定的包装,也就是范例代码的实现,实现的时候,传入的参数按照下面的链路代码给出的值,找到 socket CAN 对应的值,它有提供其数据帧的字节定义格式,照着做就可以了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Dao-道法自然

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值