2021-05-03Wireshark流量包分析
⽬录
WEB数据包分析的题⽬主要出现WEB攻击⾏为的分析上, 典型的WEB攻击⾏为有:WEB扫描、后台⽬录爆破、后台账号爆破、WEBSHELL上传、SQL注⼊等等。
eclipse单词补全快捷键WEB扫描分析
题型:dialogues意思中文
通过给出的流量包获取攻击者使⽤的WEB扫描⼯具。
解题思路:
常见的WEB扫描器有Awvs,Netsparker,Appscan,Webinspect,Rsas(绿盟极光),Nessus,WebReaver,Sqlmap等。要识别攻击者使⽤的是哪⼀种扫描器,可通过wireshark筛选扫描器特征来得知。
相关命令:http contains “扫描器特征值”。
1.awvs:acunetix
2sparker:netsparker
3.appscan:Appscan
5.sqlmap:sqlmap
常见的扫描器特征参考:
【练习】安恒⼋⽉⽉赛流量分析:⿊客使⽤的是什么扫描器?
后台⽬录爆破分析
题型:
已知攻击者通过⽬录爆破的⼿段获取了⽹站的后台地址,请通过给出的流量包获取后台地址。
解题思路:
要获取流量包中记录的后台地址,可通过wireshark筛选后台url特征来得知。
相关命令:http contains “后台url特征”。
常见后台url特征:
1.admin
2.manager
3.login
4.system
【练习】安恒⼋⽉⽉赛流量分析:⿊客扫描到的后台登录地址是什么?
/admin/login.php?rec=login
后台账号爆破
题型:
已知攻击者通过暴⼒破解的⼿段获取了⽹站的后台登陆账号,请通过给出的流量包获取正确的账号信息。
解题思路:
网页设计在线设计WEB账号登陆页⾯通常采⽤post⽅法请求,要获取流量包中记录的账号信息可通过wireshark筛选出POST请求和账号中的关键字
如‘admin’。
相关命令:hod=="POST"  and  http contains "关键字"。
【练习】安恒⼋⽉⽉赛流量分析:⿊客使⽤了什么账号密码登录了web后台?
思路1:登陆后台99%使⽤的是POST⽅法,使⽤过滤器+追踪TCP流,有302重定向则登录成功。刚才使⽤扫描的源ip⼀定是⿊客的ip地址,使⽤过滤可得
思路2:返回字段长度为75X,说定post登录成功(⽬前没搞懂)
模块化编程语言与算法
WEBSHELL上传
题型:
mysql面试题型
已知攻击者上传了恶意webshell⽂件,请通过给出的流量包还原出攻击者上传的webshell内容。
解题思路:
Webshell⽂件上传常采⽤post⽅法请求,⽂件内容常见关键字eval,system,assert要。获取流量包中记录的webshell可通过wireshark 筛选出POST请求和关键字.
相关命令:hod=="POST"  and  http contains "关键字"
【练习】安恒⼋⽉⽉赛流量分析:⿊客上传的webshell⽂件名是?内容是什么?
Form item: "action" = "QGluaV9zZXQgKCAiZGlzcGxheV9lcnJvcnMiLCAiMCIgKTtAc2V0X3RpbWVfbGltaXQgKCAwICk7 QHNldF9tYWdpY19xdW90ZXNfcnVudGltZSAoIDAgKTtlY2hvICgiLT58Iik7OyRtID0gZ2V0X21h
程序员入门必看书籍
Z2ljX3F1b3Rlc19ncGMgKCk7JGNvbmYgPSAkbSA/IHN0cmlwc2xhc2hlcyAo
这样好像并不完整,追踪tcp流
其他题⽬
1.某公司内⽹⽹络被⿊客渗透,请分析流量,⿊客在中到的flag是什么
思路⼀:导出对象,搜索

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。