用wireshark流量分析的四个案例

这篇具有很好参考价值的文章主要介绍了用wireshark流量分析的四个案例。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

第一题

1

2

3

4

第二题

1

2

3.

第三题

1

2

第四题

1

2

3


第一题

题目:

1.黑客攻击的第一个受害主机的网卡IP地址

2.黑客对URL的哪一个参数实施了SQL注入

3.第一个受害主机网站数据库的表前缀(加上下划线例如abc

4.第一个受害主机网站数据库的名字

1

打开流量包,直接筛选http || tls找网络传输协议,发现192.168.1.8大量出现,所以直接筛选该Ip

用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

找到不正常的浏览器返回500

打开一个看下请求内容:

用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

发现了get里面有urlcode编码过的内容,拿下来解码看看:

用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

 明显的sql注入行为,那么受害者就是192.168.1.8了

至于为什么不是202.1.1.2,原因是公网和私网的命名规则,所以192.168.1.8是私网,202.1.1.2是经过nat转换的公网地址,所以判断出202.1.1.2是攻击方

顺便可以看到攻击用的扫描器是sqlmap(User-Agent是可以修改的)

用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

2

直接看URL得出是list这个参数

用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

3

追踪一下tcp流可以发现存在报错注入,然后得出数据库前缀为:ajtuc_

用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

4

这个比较麻烦,需要再稍微靠后的地方找get参数中有没有库名

前面已经知道黑客的Ip了,直接筛选(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http

然后再靠后的地方找

最后找到库名是joomla

第二题

题目:

1.黑客第一次获得的php木马的密码是什么

2.黑客第二次上传php木马是什么时间

3.第二次上传的木马通过HTTP协议中的哪个头传递数据

1

根据第一题获取的ip直接筛选(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http

同样打开一个包看下:

用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

 这里的zzz明显是用decode解码了一个z0的base64编码,然后用eval执行的,

看下z0解码后的:

用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

解密出了一个php代码,发现一句话后门

那么zzz这个参数就是shell的密码了

2

要找第二个木马,那就看PSOT提交方式有没有线索:

筛选:(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http.request.method == POST

用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

发现一个文件的大小异常,有900多。直接追踪tcp流量

发现被base64加密的代码:

用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

 把它解码:

用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

用vscode打开看看这串代码:

用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

 这段代码很明显是一段混淆过的代码,但是没关系,看j和N这两个变量就行了

这是利用的create_function这个函数制作的木马,现在已经找到木马,就是这个包

直接看这个包的上传时间

用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

看到时间为17:20:44.248365

3.

再随便点开一个包看看

用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

 发现Referer异常,而language正常,所以判断为Referer。

第三题

题目:

1.内网主机的mysql用户名和请求连接的密码hash是多少

2.php代理第一次被使用时最先连接了哪个IP地址

1

直接筛选:tcp contains "mysql" && mysql(找tcp中包含mysql且使用mysql协议的包)

发现大量login,证明是爆破行为,内网受害主机位192.168.2.20

用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

既然破解成功了,那就肯定是最后一个包,直接看最后一个包:

得到用户名和密码的hash

用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

2

根据1得到内网主机Ip,直接筛选:(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http

用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

能看到,代理是用POST,所以我们就过滤出POST

(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http.request.method==POST && http

打开第一个有tunnel.php的包看到代理Ip:4.2.2.2

用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

第四题

题目:

1.黑客第一次获取到当前目录下的文件列表的漏洞利用请求发生在什么时候

2.黑客在内网主机中添加的用户名和密码是多少

3.黑客从内网服务器中下载下来的文件名

1

目录的话关键词就是dir或者ls,所以筛选器:

(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && (http contains "dir" || http contains "ls")

分别发现一条,直接追踪tcp流

用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

 ls没有收获,dir发现了:

用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

 这个包的时间是:18:37:38.482420

用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

2

ip.addr == 192.168.2.20 && http发现一个后门sh.php

用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

 用ip.src == 192.168.2.20 && http

在这个包看到一条net user,是windows查看、添加当前用户的命令用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

 现在精确筛选一下:

(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && (http contains "user" || http contains "Administrator")

找到用户名了

用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

根据不存在这个用户和存在后的这段时间确定到四个post,挨个查看:

用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

找到base64编码的值,解码得出:

用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

所以用户名密码均为kaka

3

由于木马是POST,又是下载文件,所以直接过滤POST请求:

ip.dst == 192.168.2.20 && http.request.method==POST

直接倒最后的包看到编码:

用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

直接解码:用wireshark流量分析的四个案例,网安,wireshark,网络,服务器

 可以得出,下载的文件为lsass.exe_180208_185247.dmp文章来源地址https://www.toymoban.com/news/detail-685263.html

到了这里,关于用wireshark流量分析的四个案例的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络流量分析详解(包含OSI七层模型、TCP协议及Wireshark工具用法)

    这个系列讲的是整个网络流量分析流程,其中包含TCP协议、HTTP协议详解和Wireshark、Tcpdump的详细用法,现在只完成了其中一部分内容,每周更新,感兴趣的可以持续关注一下~ 内容比较杂,直接用 Ctrl+F 找自己需要的就可以 ​ 网络流量分析(NTA)可以描述为检查网络流量以表征所

    2023年04月12日
    浏览(90)
  • Java-线程安全的四个经典案例和线程池

    有些对象,在一个程序中应该只有唯一 一个实例(光靠人保证不靠谱 借助语法来保证) 就可以使用单例模式 在单例模式下 对象的实例化被限制了 只能创建一个 多了的也创建不了 单例模式分为两种:饿汉模式和懒汉模式 饿汉模式: 饿急眼了,不吃(创建)不行了,就是在

    2024年02月05日
    浏览(43)
  • Elasticsearch的网络流量分析案例

    Elasticsearch是一个分布式、实时的搜索和分析引擎,它可以处理大量数据并提供快速、准确的搜索结果。在现实生活中,Elasticsearch广泛应用于日志分析、实时监控、搜索引擎等领域。本文将介绍Elasticsearch的网络流量分析案例,涉及到的核心概念、算法原理、最佳实践以及实际

    2024年02月21日
    浏览(50)
  • Wireshark流量分析

    目录 1.基本介绍 2.基本使用 1)数据包筛选: 2)筛选ip: 3)数据包还原  4)数据提取  3.wireshark实例 1. 基本介绍 在CTF比赛中,对于流量包的分析取证是一种十分重要的题型。通常这类题目都是会提供一个包含流量数据的pcap文件,参赛选手通过该文件筛选和过滤其中无关的流

    2024年02月11日
    浏览(41)
  • 流量分析:wireshark的使用

    wireshark使用教程博客 https://www.cnblogs.com/cainiao-chuanqi/p/15910553.html?spm=wolai.workspace.0.0.3768135baBU0KJ 1、过滤查看包含某字符串的HTTP数据包: http contains \\\"string\\\" (tcp同理) 2 、过滤查看请求某一url的流量: http.request.url ==\\\"path\\\" 或 http.request.url contains \\\"path\\\" 3、过滤某一ip的流量: ip.addr =

    2024年02月10日
    浏览(43)
  • Wireshark流量分析例题

    目录 前言  一、题目一(1.pcap) 二、题目二(2.pcap) 三、题目三(3.pcap) 四、题目四(4.pcap) Wireshark流量包分析对于安全来说是很重要的,我们可以通过Wireshark来诊断网络问题,检测网络攻击、监控网络流量以及捕获恶意软件等等 接下来我们来看一道数据分析题,需要4个流量包 1-

    2024年02月11日
    浏览(39)
  • 简单流量分析CTF(wireshark)

    没做过流量分析的题目,也不怎么了解怎么流量分析,准备系统的理一下思路。。 这有第一个小题目。通过几个题目来了解wireshark的使用以及流量分析吧。。 bugku的杂项题目。 链接:https://pan.baidu.com/s/1OnO7OXIQB8ztl8J2q48jBA 提取码:1111 这是一个 pacp文件  是一种常用的数据报存

    2024年02月07日
    浏览(38)
  • Wireshark流量分析还原zip文件

    以下内容为数据取证靶场题目 通过提示下载流量包,导入到wireshark开始分析 此处发现访问了可疑的压缩包文件 通过右键 追踪TCP流 进一步分析 以下为该压缩包的请求包和响应包内容,我们需要的是响应包中的响应体 选中该http请求后,选择Media Type,右键选择 导出分组字节流

    2024年02月17日
    浏览(43)
  • suricata初体验+wireshark流量分析

    目录 一、suricata介绍 1.下载安装 2.如何使用-攻击模拟 二、wireshark流量分析 1.wireshark过滤器使用  2.wireshark其他使用 通过官网下载suricata,根据官网步骤进行安装。    以上配置完毕后,重启suricata。  进入wazuh匹配文件,需将suricata加入,使wazuh代理可以读取suricata日志文件。

    2024年02月11日
    浏览(31)
  • 流量分析-Wireshark -操作手册(不能说最全,只能说更全)

    流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法 👍 常用筛选命令方法 常⽤快捷键 👍 数据包筛选 等等 ⽹络流量分析是指捕捉⽹络中流动的数据包,并通过查看包内部数据以及进⾏相关的协议、流量分析、统计等来发现⽹

    2024年02月07日
    浏览(34)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包