MISC:HTTP 流量分析技术.

这篇具有很好参考价值的文章主要介绍了MISC:HTTP 流量分析技术.。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

MISC:HTTP 流量分析技术.

Misc即杂项,是信息隐藏又称信息伪装,就是通过减少载体的某种冗余,如空间冗余、数据冗余等,来隐藏敏感信息,达到某种特殊的目的。 信息隐藏打破了传统密码学的思维范畴,从一个全新的视角审视信息安全。与传统的加密相比,信息隐藏的隐蔽性更强,在信息隐藏中,可以把这两项技术结合起来,先将秘密信息进行加密预处理,然后再进行信息隐藏,则秘密信息的保密性和不可觉察性的效果更佳。

http流量分析,# Misc (杂项) 领域.,CTF夺旗 领域.,# 红蓝对抗 || 应急响应 领域.,安全,web安全,网络安全,网络


目录:

MISC:HTTP 流量分析技术.

流量分析是什么:

HTTP协议 三次握手:

Wireshark 基本使用方法:

(1)数据包筛选: 

(2)数据包搜索:

(3)数据包还原:

(4)数据提取:

实战案例:

(1)某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器.

(2)某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是

(3)某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台

(4)某公司内网网络被黑客渗透,请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交 webshell 的内容.

(5)某公司内网网络被黑客渗透,请分析流量,黑客在 robots.txt 中找到的 flag 是什么.

(6)某公司内网网络被黑客渗透,请分析流量,黑客找到的数据库密码是多少.

(7)某公司内网网络被黑客渗透,请分析流量,黑客在数据库中找到 hash_code 是什么.

(8)某公司内网网络被黑客渗透,请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么.

(9)某公司内网网络被黑客渗透,请分析流量,被黑客攻击的web服务器,网卡配置是是什么,提交网卡内网 ip.

(10)某公司内网网络被黑客渗透,请分析流量,黑客使用了什么账号登陆 mail 系统 

(11)某公司内网网络被黑客渗透,请分析流量,黑客获得的 vpn 的 ip 是多少.

(12)在 Wireshark 中的常用技巧.


流量分析是什么:

在CTF中,通常会有一些pcapng或者pcap文件后缀的数据包,不同的数据包有不同的协议,常见的有HTTP,TCP协议当然CTF中考察的协议很多,我们需要从这类文件中进行分析,获取数据然后最终找到我们的答案flag.


HTTP协议 三次握手:

简单理解(三次握手):是建立连接的过程,客户端向服务端发起连接时:询问是否同意连接(SYN包),
同意连接(SYN+ACK包),建立连接(ACK包)
第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND(请求连接)状态,等待服务器确认

http流量分析,# Misc (杂项) 领域.,CTF夺旗 领域.,# 红蓝对抗 || 应急响应 领域.,安全,web安全,网络安全,网络

第二次握手:服务器收到syn包,必须确认客户的SYN(ack=i+1),同时自己也发送一个SYN包 (syn=k)
,即SYN+ACK包此时服务器进入SYN_RECV状态.

http流量分析,# Misc (杂项) 领域.,CTF夺旗 领域.,# 红蓝对抗 || 应急响应 领域.,安全,web安全,网络安全,网络

第三次握手:客户端收到服务器的SYN + ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和
服务器进入ESTABLISHED(TCP连接成功)状态,完成三次握手。完成三次握手,客户端与服务器开始传送数据

http流量分析,# Misc (杂项) 领域.,CTF夺旗 领域.,# 红蓝对抗 || 应急响应 领域.,安全,web安全,网络安全,网络


Wireshark 基本使用方法:

Wireshark 的基本使用分为数据包筛选、数据包搜索、数据包还原、数据提取四个部分.

(1)数据包筛选: 

Wireshark的数据包筛选功能是wireshark的核心功能,比如需要筛选出特定的协议如HTTP,Telnet等,
也可能需要筛选出ip地址,端口等,多条规则可以使用&&,|| 连接.
#ip筛选:
ip.src == 地址         #源ip筛选
ip.dst == 地址         #目的ip筛选
ip.addr == 地址          #ip筛选
#mac地址筛选:
eth.dst == A0:00:00:04:C5:84         #目标mac地址筛选
eth.addr == 20:89:84:32:73:c5        #mac地址筛选
#端口筛选:
tcp.dstport == 80        #筛选tcp协议的目标端口为80的流量包
tcp.srcport == 80        #筛选tcp协议的源端口为80的流量包
udp.srcport == 80        #筛选udp协议的源端口为80的流量包
#协议筛选:
tcp         #筛选协议为tcp的流量包
udp         #筛选协议为udp的流量包
arp/icmp/http/ftp/dns/ip     #筛选协议为arp/icmp/http/ftp/dns/ip的流量包
                         #可用!加协议或者not加协议表示排除该协议not arp 或!arp
#包长度筛选:

udp.length ==20     #筛选长度为20的udp流量包 这个长度是指udp本身固定长度8加上udp下面那块
数据包之和

tcp.len >=20     #筛选长度大于20的tcp流量包 指的是ip数据包(tcp下面那块数据),不包括tcp本身

ip.len ==20    #筛选长度为20的IP流量包 除了以太网头固定长度14,其它都算是i.en,即i本身到最后

frame.len ==2     #筛选长度为20的整个流量包 整个数据包长度从eth开始到最后
#http请求筛选:
GET:httprequest.method=="GET"  #筛选HTTP请求方法为GET的流量包

POST:http.request.method=="POST"    #筛选HTTP请求方法为POST的流量包

URI:http.request.uri=="/img/1.gif"    #筛选HTTP请求的URL为/img/1.gif的流量包

http contains "FLAG"   #筛选HTTP内容为/FLAG的流量包(请求或相应中包含特定内容:flag)

http流量分析,# Misc (杂项) 领域.,CTF夺旗 领域.,# 红蓝对抗 || 应急响应 领域.,安全,web安全,网络安全,网络


(2)数据包搜索:

在 wireshark 界面按 Ctrl+F 或者点击 Q 图标,可以进行关键字搜索.

Wireshark 的搜索功能支持正则表达式、字符串、十六进制等方式进行搜索,通常情况下直接使用字符串
方式进行搜索.

http流量分析,# Misc (杂项) 领域.,CTF夺旗 领域.,# 红蓝对抗 || 应急响应 领域.,安全,web安全,网络安全,网络

http流量分析,# Misc (杂项) 领域.,CTF夺旗 领域.,# 红蓝对抗 || 应急响应 领域.,安全,web安全,网络安全,网络

http流量分析,# Misc (杂项) 领域.,CTF夺旗 领域.,# 红蓝对抗 || 应急响应 领域.,安全,web安全,网络安全,网络

http流量分析,# Misc (杂项) 领域.,CTF夺旗 领域.,# 红蓝对抗 || 应急响应 领域.,安全,web安全,网络安全,网络


(3)数据包还原:

在 wireshark 中,存在一个交追踪流的功能,可以将 HTTP 或 TCP 流量集合在一起并还原成原始
数据,具体操作方式如下选中想要还原的流量包,右键选中,选择追踪流--TCP流/UPD流/SSL流/HTTP流.

http流量分析,# Misc (杂项) 领域.,CTF夺旗 领域.,# 红蓝对抗 || 应急响应 领域.,安全,web安全,网络安全,网络


(4)数据提取:

Wireshark 支持提取通过 http 传输 (上传/下载)的文件内容方法如下:
选中 http 文件传输流量包,在分组详情中找到 data 或者 Linebased text data:text/html层,
鼠标右键点击-选中导出分组字节流.

实战案例:

(1)某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器.

解题思路:

常见的 WEB 扫描器有Awvs,Netsparker,Appscan,Webinspect,Rsas(绿盟极光),Nessus,
WebReaver,Sqlmap等。要识别攻击者使用的是哪一种扫描器,可通过wireshark筛选扫描器特征来得知.
//常见的扫描器特征参考: https://www.77169.net/html/259708.html

可以使用 http contains "扫描器特征值" 来进行过滤筛选,或者用分组字节流直接搜.

http流量分析,# Misc (杂项) 领域.,CTF夺旗 领域.,# 红蓝对抗 || 应急响应 领域.,安全,web安全,网络安全,网络


(2)某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)

解题思路:
如果黑客扫描到后台,一定会进行大量尝试账号密码,而且是以 POST 方式进行的.

http.request.method =="POST"

http流量分析,# Misc (杂项) 领域.,CTF夺旗 领域.,# 红蓝对抗 || 应急响应 领域.,安全,web安全,网络安全,网络

http流量分析,# Misc (杂项) 领域.,CTF夺旗 领域.,# 红蓝对抗 || 应急响应 领域.,安全,web安全,网络安全,网络


(3)某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台,形式: username / password

解题思路:
在上面第二问知道登陆后合是'/admin/loain.php?rec=login,而且有 302 重定向,所以可以确定
黑客登陆的账号和密码,但是观察到有多个 302 重定向,账号密码都不一样.

这里我们把过滤再仔细一点,确定黑客的IP地址:

htp.request.method =="POST" && http contains "rec=login" && p.src == 192.168.94.59

然后按照时间排序,最后一个就是黑客使用的账号和密码:

admin/admin!@#pass123

(4)某公司内网网络被黑客渗透,请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交 webshell 的内容.

解题思路:一般来说 webshell 都是一句话木马,直接搜

http contains "<?php @eval"

http流量分析,# Misc (杂项) 领域.,CTF夺旗 领域.,# 红蓝对抗 || 应急响应 领域.,安全,web安全,网络安全,网络


(5)某公司内网网络被黑客渗透,请分析流量,黑客在 robots.txt 中找到的 flag 是什么.

解题思路: 直接搜robots.txt,然后追踪流即可.

http流量分析,# Misc (杂项) 领域.,CTF夺旗 领域.,# 红蓝对抗 || 应急响应 领域.,安全,web安全,网络安全,网络


(6)某公司内网网络被黑客渗透,请分析流量,黑客找到的数据库密码是多少.

解题思路: 
找数据库密码就涉及到三个关键字,分别是mysql,database,password,可以通过这几个关键字来进行查询

http contains "database"

但是这样过滤的数据还是太多,可以再借助状态码来过滤一下,黑客可以得到mysal数据库的密码,说明
是请求文件之后服务器正常返回,也就是状态码 200

http contains "database" && http.response.code==200

只有一条,直接追踪流即可

http流量分析,# Misc (杂项) 领域.,CTF夺旗 领域.,# 红蓝对抗 || 应急响应 领域.,安全,web安全,网络安全,网络


(7)某公司内网网络被黑客渗透,请分析流量,黑客在数据库中找到 hash_code 是什么.

解题思路:
根据上面一问知道数据库的主机是10.3.3.101,可以先查这个 ip 有什么数据

$dbhost ="10.3.3.101"

这里需要打开 webtwopcap 中直接搜

ip.src==10.3.3.101

同时搜索 hash_code

http流量分析,# Misc (杂项) 领域.,CTF夺旗 领域.,# 红蓝对抗 || 应急响应 领域.,安全,web安全,网络安全,网络


(8)某公司内网网络被黑客渗透,请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么.

解题思路:
在 webtwo.pcap 这个流量包中,使用分组详情查询,即可查到密码.

http流量分析,# Misc (杂项) 领域.,CTF夺旗 领域.,# 红蓝对抗 || 应急响应 领域.,安全,web安全,网络安全,网络


(9)某公司内网网络被黑客渗透,请分析流量,被黑客攻击的web服务器,网卡配置是是什么,提交网卡内网 ip.

解题思路:
回到 webone.pcap 这个流量包中,这个问题问的是网卡的配置,一般网卡的名称都为 eth0,所以
可以利用这个关键词进行查询

tcp contains "eth0"

追踪一下 tcp 流,即可发现网卡的相关配置.

http流量分析,# Misc (杂项) 领域.,CTF夺旗 领域.,# 红蓝对抗 || 应急响应 领域.,安全,web安全,网络安全,网络


(10)某公司内网网络被黑客渗透,请分析流量,黑客使用了什么账号登陆 mail 系统 (形式: username/password)

解题思路: 
这题需要综合来看 mailtwo.pcap 和 mailtwo1.pcap 两个数据包首先打开 mailtwo.pcap,
在第三条数据中发现了login_name=wenwenni字段,还有action=logout

http流量分析,# Misc (杂项) 领域.,CTF夺旗 领域.,# 红蓝对抗 || 应急响应 领域.,安全,web安全,网络安全,网络

继续向下读取数据,发现下个mail系统的数据是28号然后又到了登陆界面的35号数据.

http流量分析,# Misc (杂项) 领域.,CTF夺旗 领域.,# 红蓝对抗 || 应急响应 领域.,安全,web安全,网络安全,网络


(11)某公司内网网络被黑客渗透,请分析流量,黑客获得的 vpn 的 ip 是多少.

解题思路:
在统计 --> IPV4 --> All Addresses 中发现,出现IP的次数最多.

http流量分析,# Misc (杂项) 领域.,CTF夺旗 领域.,# 红蓝对抗 || 应急响应 领域.,安全,web安全,网络安全,网络


(12)在 Wireshark 中的常用技巧.

1.拿到一个流量包,把他放 Wireshark 中导出 HTTP 流量.(一般有 HTTP 就是考 HTTP 流量)


导出操作 ==> 文件 ==> 导出对象 ==> HTTP

http流量分析,# Misc (杂项) 领域.,CTF夺旗 领域.,# 红蓝对抗 || 应急响应 领域.,安全,web安全,网络安全,网络

在命令行下切换到导出的文件中,执行(分离出文件.)

foremost * 

http流量分析,# Misc (杂项) 领域.,CTF夺旗 领域.,# 红蓝对抗 || 应急响应 领域.,安全,web安全,网络安全,网络

http流量分析,# Misc (杂项) 领域.,CTF夺旗 领域.,# 红蓝对抗 || 应急响应 领域.,安全,web安全,网络安全,网络

           

            

             

学习笔记链接:5-流量分析技术_哔哩哔哩_bilibili文章来源地址https://www.toymoban.com/news/detail-677185.html

到了这里,关于MISC:HTTP 流量分析技术.的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • CTF misc 0宽度字节隐写

    题目来源:HNCTF[WEEK2]Matryoshka(NSSCTF平台)  1,题目打开是这样的一个压缩包和pass.txt 压缩包很明显是需要密码的。在压缩包外部给文件一般不考虑伪加密。 2,打开txt文件。 3, 在记事本里面瞎点一下。 可以发现列数是不对的,这时候想到了0宽度字节隐写。 4,打开0宽度字节

    2024年02月08日
    浏览(48)
  • CTF-Misc 文件类型 详细解

    初次接触CTF的Misc方向,在这里详细记录一下。 1.准备工具: CTFtools CTFCracktools 010 editor 2.题目准备 攻防世界下载附件,如图。解压得到cipher.txt。  然后记事本打开: 看到出现了A-F的字符,初步判定是十六进制,即hex文件。 复制,使用CTFtools,常见解码-Hex-str:  得到result处的

    2023年04月08日
    浏览(37)
  • [青少年CTF]-MISC WP(二)

    16)17insanity FLAG:INSA{Youre_crazy_I_like_it} 17)17sanity FLAG:INSA{Youre_sane_Good_for_you} 18)原sher FLAG:qsnctf{c1f5e391-83dd-47e3-9f15-0e32eaafdc95} 19)签到 20)八卦迷宫 FlAG:cazy{zhanchangyangchangzhanyanghechangshanshananzhanyiyizhanyianyichanganyang} 21)我看他是喜欢套娃! 摩斯电码在线转换 培根密码在线加解

    2024年02月14日
    浏览(45)
  • 入坑CTF的第一篇CRC32爆破【MISC】

    最近遇到一道CTF的一道题,大意是: 一个被压缩的Zip压缩包,在无法使用加密口令解压的情况下,如何获取其中文本文件的内容。 思路:对于文件大小6B的文件,可以利用CRC32的校验值,爆破文本内容。 我自己做了一个压缩包,没有使用密码加密,测试一下(以4字节的文件

    2024年02月12日
    浏览(45)
  • CTF流量题解http1.pcapng

    使用Wireshark工具打开流量文件http1.pcapng,如下图所示。 在过滤检索栏输入http,wireshark自动进行过滤。 选中其中一条记录后,wireshark 下方显示若干信息。 在 [Request URI: http://192.168.43.173/yctf/cmd_exec/index.php?ip=flag%7Byou_can_find_it%7D] 里面包含了flag。

    2024年02月13日
    浏览(39)
  • CTF-Misc基础知识之图片及各种工具

    MISC作为CTF中比较重要的一类题型,分值占比较大,为了帮助大家更好的学习MISC的做题方法,我总结了常见的图片类型中的几种题型及工具: 图片,音频,视频 首先就是大家常见的图片分析,图片修复,图片修改长宽高,图片拼接,二维码扫描,LSB隐写等等。 遇到图片类型

    2023年04月09日
    浏览(39)
  • 【CTF-MISC-1】 Word隐写&零宽字符隐写

    Word中的隐写 1.1 利用Word文本功能进行隐藏 1.1.1 文字效果-隐藏 选中Word中想要隐藏的文字,依次点击“鼠标右键=文字”,在文字效果一栏中选中隐藏,那么选中的文字就被隐藏了,而在默认情况下被隐藏的内容是会被显示的。 如果想要查看被隐藏的内容,则需要依次点击“文

    2024年02月01日
    浏览(38)
  • CTF攻防世界 Misc高手进阶区 6分题 Wireshark(详细解析)

    目录 题目链接: 题目解析: 获得flag: 得到一个流量包,打开看得眼花,先关注http 一个个追踪,先看到一个网站 tools.jb51.net/aideddesign/img_add_info 打开之后发现是一个图片加密解密的网站,  导出全部http对象,保存出来。  全部导出之后,发现一个png格式的风景照,和两个较

    2024年02月09日
    浏览(39)
  • CTF Misc(2)内存取证基础以及原理,覆盖了大部分题型

    内存取证在ctf比赛中也是常见的题目,内存取证是指在计算机系统的内存中进行取证分析,以获取有关计算机系统当前状态的信息。内存取证通常用于分析计算机系统上运行的进程、网络连接、文件、注册表等信息,并可以用于检测和分析恶意软件、网络攻击和其他安全事件

    2024年02月12日
    浏览(50)
  • 2023寒鹭Tron-CTF迎新赛 CRYPTO Misc 全WP

    1、题目信息 2、解题方法 兔子密码,在线工具直接解 1、题目信息 2、解题方法 flag有三部分 第一部分:BrainFuck解码 第二部分:ook! 第三部分:UUencode解码 1、题目信息 2、解题方法 像摩斯,但不是摩斯,是摩斯的变形。。。 把 . 换成 0 , / 换成 1,二进制解码: 最后把flag换

    2024年02月08日
    浏览(47)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包