Web安全—流量分析(墨者靶场)

已于 2022-03-14 22:26:48 修改
阅读量2.4k 收藏 8
点赞数 3
分类专栏: 流量分析&取证 文章标签: web安全 php 安全
于 2022-03-14 21:44:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44431280/article/details/123488718
版权

Web安全—流量分析(墨者靶场)

提要:本文主要记录墨者靶场中流量分析(电子取证)的思路过程,注重学习思路过程并非问题答案。

问题说明:

分析数据包找出上传Webshell的IP地址,数据包可在webshell数据包这里下载
提取码:krlv
在这里插入图片描述

分析思路:

使用Wireshark打开数据包,wireshark使用可参考文章Web安全工具—WireShark使用

方法一:

1,因为题目已说明是webshell上传,同时文件上传通常使用post请求方法,所以我们只需要分析http协议流量,过滤请求方法为post的http流量:

过滤表达式:http.request.method==POST

在这里插入图片描述
2,通过上述步骤1我们根据没法具体找到文件上传的数据包,此时我们通过webshell常用函数入手,我们先判断网站环境属于什么脚本环境:

过滤表达式: http matches "(.*?)powered by"  (正则匹配协议内容,很好用)

在这里插入图片描述
判断此环境为PHP/5.4.45脚本环境
3,因为PHP环境中webshell常用函数为eval(),assert()等,我们尝试使用正则过滤eval函数:

过滤表达式:http matches "(.*?)@eval",发现只有一条HTTP流符合

在这里插入图片描述
尝试追踪http流查看内容,发现一句话木马脚本,即可判断webshell上传源IP为112.192.189.124
在这里插入图片描述

方法二:

根据文件上传HTTP协议中的特征字段boundary来直接进行过滤判断:

过滤表达式:http matches "(.*?)boundary",也可找到目标http流

在这里插入图片描述
文件上传HTTP数据包可参考文章:Web安全—文件上传漏洞HTTP数据包分析

总结:

1,Web攻防流量攻防中要按照对应的攻击特征去查找过滤,Wireshark中多使用http matches “(.*?)boundary"X”(实测很好用)
2,学习了解攻防原理,了解不同攻击特征

文章中涉及学习内容:

Web安全—文件上传漏洞HTTP数据包分析
Web安全工具—WireShark使用
流量分析基础篇
CTF web题型流量分析(ctf之流量分析)第三课 工具使用-流量分析

the zl
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
如何进行Web安全流量分析(一)
日拱一卒,默默努力
08-11 279
如何进行Web安全流量分析的基础技能点,助力蓝队中高级人员参战
IIS 网站流量分析软件
08-14
IIS站点流量监控软件是帮助您快速查看一个 IIS 6.0 / 7.0 服务器上的WEB站点流量信息。帮助您实时了解IIS中每个站点具体流量占用情况,如:WEB下载、WEB上传流量、站点当前连接数、站点最大连接数、POST请求数量、站点HTTP 404 次数等。   方便服务器管理员在服务器中查询出有问题的站点,或者比较浪费服务器资源的站点。配合《智创IIS网站专业级防火墙系统》可以实时观看IIS中每个ASP/PHP/.NET脚本的执行时间和执行情况,可以非常方便的用于解决IIS经常出现的莫名其妙的问题
墨者学院-远程电子数据取证-木马分析(第1题)
qq_37850901的博客
09-26 480
墨者学院-远程电子数据取证-木马分析(第1题) 根据给的账号密码登入系统 通过搜索引擎中的链接,发现上传的目录为“WEB站点根目录/seo/ 所以我们搜索seo,看看有什么发现只能找到快捷方式,猜测隐藏了 C:Inetpubwwwroot下没有seo这个文件夹,显示所有文件,发现还是没有,百度搜了下,说是驱动级文件隐藏,特征为系统目录下存在如下文件: C:WINDOWSxlkfs.dat C:WI...
网络安全——流量分析
李子木的博客
04-19 539
使用ftpcontains 230 进行过滤,对上面数据包进行追踪流,然后使用ftp-data进行过滤发送数据的流量,选择一个数据包追踪流保存为原始数据进行保存为jpg文件进行查看。8、从前面步骤查看数据流中可以看到一个suictsr247用户,对该字段进行搜索,点击查找一个分组,显示一个过滤器改为字符串进行搜索该数据包,发现对目标实施暴力破解。4.使用过滤语句:ip.src==172.16.1.110 and tcp.port==3306,对其中数据包进行追踪可以看到数据信息。
在线靶场-墨者-电子数据取证1星-电子数据取证-流量分析(第1题)
weixin_42079912的博客
07-19 370
打开靶场网页,下载文件,下载后的文件解压,使用wireshark打开。由于题目是说使用照片传输机密数据,所以照片传输是http协议,于是过滤http协议出来。在http协议中找到一个JPGE JFIF image这条线索。 点击这条数据,右键选择Follow进行追踪。然后就能得到flag{}里的值,把值输入靶场网站即可得到本题的key。 ...
10个强大的开源Web流量分析工具
weixin_34235105的博客
06-24 145
"Web 流量分析工具多不胜数,从 WebTrends 这样专业而昂贵的,到 Google Analytics 这样强大而免费的,从需要在服务器端单独部署的,到可以从前端集成的,不一而足。本文收集并介绍了10个功能强大的开源 Web 流量分析工具,因为是开源的,因此可以免费部署到你的网站。TraceWatchTraceWatch 是一个开源 Web 流量分析程序,支持实时分析...
web安全攻击方法流量分析
博客地址 www.sec0nd.top
07-18 3244
想起来一个思路,用wireshark抓包工具,去看一下每种攻击行为的流量,如果能分析出一些攻击行为的流量特征也不错。之前也学过wireshark,但是做的都是一些其他流量分析,还没使用这个工具进行分析一些攻击行为。......
Web实战-流量分析
cc菜的一批
11-28 1440
题目地址:流量分析.rar 因为我不太会wireshark,因此我特意搜索一下相关教程。 推荐地址:https://www.cnblogs.com/koushuige/p/9212033.html 我用尽了力气,看个大概之后,打开我的wireshark,打开那个文件。 打开一看,有137条,不慌,不算太多,没有深厚基础的我,那就一条一条的往下翻一翻吧。。。 我猛然注意到,这尼玛咋会有一条黑色的...
【甄选靶场】Vulnhub百个项目渗透——项目七:DerpNStink-1(sql注入,流量分析
人间体佐菲的博客
08-23 2043
【专为新人甄选】Vulnhub百个项目渗透——项目七:DerpNStink-1
墨者安全专家 3.7(更新)
11-03
运用了墨者研发的新技术,结合权限管理的功能,有效防止防火墙和杀毒软件尚未识别的安全危险入侵,并在病毒库反应前把系统与安全隐患完全隔离,有效防止木马盗号等。 2、墨者查杀病毒 兼容主流杀毒软件,并可永久...
墨者安全专家 v3.7.2.9
03-12
墨者安全专家第二代为您彻底免疫未知病毒,并且提供终身免费国际杀毒品牌趋势科技的优质产品! 墨者安全专家第二代是融合了反rootkit技术、用户权限管理技术和白名单技术并有机集成的免疫"革离"技术。同时第二代集...
墨者安全专家
07-04
墨者安全专家是一款永久免费的免疫型安全防护软件,集墨者独创的 “革离术”、终身免费杀毒、修复系统漏洞、上网痕迹清理、网络防火墙、系统实时保护、安全互助社区等强大功能于一身。特别是独创的“革离术”,利用...
墨者安全软件-免费杀毒软件
11-11
墨者安全专家是一款永久免费的免疫型安全防护软件,集墨者独创的 “革离术”、终身免费杀毒、修复系统漏洞、上网痕迹清理、网络防火墙、系统实时保护、安全互助社区等强大功能于一身。特别是独创的“革离术”,利用...
123墨者安全专家免费版
05-22
很好用的防护软件~!~!~!~!~!~!
网络安全风险里的威胁建模
最新发布
qq_41432686的博客
05-02 522
网络安全的本质是攻防双方的对抗与博弈。然而,由于多种攻防之间的不对称性因素存在,使得攻击者总能在对抗过程中抢占先机。为了更好地了解潜在的威胁和缺陷,实现主动式防御,企业需要重新考虑他们的网络防护方法,而威胁建模(Threat modeling)正是网络安全武器库中关键防御武器。
网络安全与密码学
weixin_61074128的博客
04-27 1427
一、密码学是一门研究信息安全保密的学科,主要涉及对信息进行加密、解密以及相关的安全技术和理论。它通过使用各种加密算法和技术,将明文信息转换为密文,以确保信息在传输和存储过程中的保密性、完整性和真实性。密码学在通信、电子商务、金融、军事等领域都有着广泛的应用。密码学包括对称加密、非对称加密、哈希函数、数字签名等重要内容。同时,密码学也在不断发展和创新,以应对不断变化的安全挑战。大家要注意的是我们平时用来认证身份的密码(passwd)翻译成口令更准确。
网络安全之密码学技术
缘友一世的博客
04-29 1009
在DES算法中,明文按64位进行分组(块),密钥长度也是64位,(事实上只有56位参与DES运算,第8、16、24、32、40、48、56、64位是校验位, 使DES的每个密钥都有奇数个1),分组后的每64位明文组(块)分别与56位密钥进行多轮置换(按位替代/交换),最后生成64位的密文组(块)。RSA密钥是(公钥+模值)、(私钥+模值)成组分发的,单独一个公钥或私钥是没有用处,所以所谓的“密钥”其实是它们两者中的一个。IDEA是作为迭代的分组密码实现的,使用128位的密钥和8个循环。
网络安全思考题
weixin_62304542的博客
04-27 922
网络安全渗透思考题
RSA实现中弱密钥漏洞分析
No_Name_Cao_Ni_Mei的博客
04-29 419
RSA是目前应用最广泛的公钥加密算法之一,它的安全性取决于大素数的难以分解性。然而,研究发现在RSA实现中存在一种弱密钥漏洞,即通过选择过于接近的素数作为RSA模数来生成密钥对,会导致RSA算法的安全性大打折扣。本文通过分析该弱密钥漏洞的原理和影响,对其进行深入剖析。首先,我们介绍了RSA算法的基本原理和密钥生成过程。然后,我们详细解释了弱密钥漏洞的成因,即模数过于接近时,存在相同或非常相似的素因子,从而使得攻击者可以经过遍历计算得到私钥,进而对加密数据进行解密。
墨者靶场sql布尔盲注
10-09
针对墨者靶场的 SQL 布尔盲注,你需要先了解 SQL 注入的基本概念和实现方式。在进行布尔盲注时,需要通过构造特定的 SQL 语句来判断数据库中是否存在某些数据或条件,从而实现注入攻击。以下是一些可能用到的注入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值