流量分析实例
一、远控抓包分析
- 使用C++编写基于TCP协议通信的客户端和服务端程序。
- 将服务端编译好放到虚拟机,将客户端在真机上编译好。
- 虚拟机运行Wireshark编写捕获过滤器:tcp and port 1234开始捕获
- 运行虚拟机的服务端,运行真机的客户端,观察Wireshark(识别三次握手)
- 在客户端输入一些内容,观察Wireshark
- 在客户端输入quit观察Wireshark(识别四次挥手)
- 从捕获到的流量包中提取内容(输入信息及图片)
开始分析
三次握手:
四次挥手:
使用统计分析功能流追踪观察流量内容:
我在客户端依次输入:
- hello
- lookover(让服务端返回截屏)
果然能看到,一模一样,后面的看起来像乱码的数据是图片数据
提取图片:保存为.jpg格式
查看图片:
二、远程木马报文分析
-
统计木马进行了几组会话,观察通讯的端口是否一致
统计端口会话功能:一共有8组会话,A的端口一直在变,B端口不变,AB通信的包大小总是91K。
通过过滤器筛选显示tcp.flags.syn==1&&tcp.flags.ack==0,右击包-对话着色给不同的流加上不同的颜色以便区分。
-
清除过滤器,根据会话追踪流,合并数据
会话1:传输了客户端的用户/系统信息
会话2:
会话3:
会话4-会话8也都是图片,和会话3一样,把六张图片一一提取出来。 -
最终发现第五张图片保存了用户的密码
大黑阔CTF题目
题目要求:
- CTF就是夺旗对抗大赛
- 找到形如 flag{XXXX-XXXX-XXXX}的数据进行提交
- 找到分析点
- 找到他们聊了些什么
- 找到flag
流量分析:
用Wireshark打开大黑客流量包,简单预览发现总共14295条记录,肯定是不能一条条分析的,必须先多虑掉无用信息。
建立过滤规则,通过协议分级统计功能:该会话主要基于HTTP协议的,把该项作为过滤器应用。
流量记录还是很多,继续丰富过滤规则,通过端点会话统计功能:大黑阔进行了10组会话,其中有三组会话包内容没有达到1K,包也较少,可以排除是聊天内容。过滤条件有了:192.168.169.130和192.168.40.42:80的会话
建立规则后,因为A的端口是变化的,所以要删除A端口的过滤规则
到这一步剩下的记录已经不是很多了,看看还能不能过滤,开头看到一连串的请求响应,长度也比较有规律,可以看到请求包显示的发送方和接收方分别是haiou和haozi,响应包没聊天内容可以过滤
建立过滤规则,选择长度列,过滤选择与非选中,过滤掉所有无用信息
过滤规则已经建好,信息从一万多条到几十条,也可以看到聊天内容了,提取聊天信息
hi
i am here what?
next week
we can go somewhere to have a rest
where are you going?
i don't have idea
how about tangshang
.
but i was born in tangshan
wow....
then how about tianyahaijiao
sound like not bad
where is that?
i...do not know
but i can check in my map img
if it is a place with water...
then?
i can not swim
god...
then...you dont want go anywhere?
i have no idea
how about wangsicong 100?
what mwaning?
how about wangsicong 100?
guominlaogong
lol...
what is 100?
his family has alot of building..you know..
yes...
but i really do not know the way
can you show me the way in the map?
ok
upload to me
ok
[img map]
see that?
yes
well!
en..
提取了两个大黑阔的聊天内容和一副地图图片,通过聊天内容大黑阔想去王思聪家里建的第一百座大楼,云南昆明市
在地图上找到这个地点,这里需要使用图片软件调一下,不然看不清
邮件的追踪
题目要求:
- 识别SMTP的文本
- 识别SMTP的二进制信息
- 从文本里能得到什么有用信息?
- 从二进制里能得到什么信息?
- 得到的二进制数据能否直观的看到?
- 解决你遇到的问题
流量分析:
1203
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
