Web安全—流量分析(墨者靶场)
提要:本文主要记录墨者靶场中流量分析(电子取证)的思路过程,注重学习思路过程并非问题答案。
问题说明:
分析数据包找出上传Webshell的IP地址,数据包可在webshell数据包这里下载
提取码:krlv
分析思路:
使用Wireshark打开数据包,wireshark使用可参考文章Web安全工具—WireShark使用
方法一:
1,因为题目已说明是webshell上传,同时文件上传通常使用post请求方法,所以我们只需要分析http协议流量,过滤请求方法为post的http流量:
过滤表达式:http.request.method==POST
2,通过上述步骤1我们根据没法具体找到文件上传的数据包,此时我们通过webshell常用函数入手,我们先判断网站环境属于什么脚本环境:
过滤表达式: http matches "(.*?)powered by" (正则匹配协议内容,很好用)
判断此环境为PHP/5.4.45脚本环境
3,因为PHP环境中webshell常用函数为eval(),assert()等,我们尝试使用正则过滤eval函数:
过滤表达式:http matches "(.*?)@eval",发现只有一条HTTP流符合
尝试追踪http流查看内容,发现一句话木马脚本,即可判断webshell上传源IP为112.192.189.124
方法二:
根据文件上传HTTP协议中的特征字段boundary来直接进行过滤判断:
过滤表达式:http matches "(.*?)boundary",也可找到目标http流
文件上传HTTP数据包可参考文章:Web安全—文件上传漏洞HTTP数据包分析
总结:
1,Web攻防流量攻防中要按照对应的攻击特征去查找过滤,Wireshark中多使用http matches “(.*?)boundary"X”(实测很好用)
2,学习了解攻防原理,了解不同攻击特征
文章中涉及学习内容:
Web安全—文件上传漏洞HTTP数据包分析
Web安全工具—WireShark使用
流量分析基础篇
CTF web题型流量分析(ctf之流量分析)第三课 工具使用-流量分析