三合一网站制作公司,wordpress win7,贵阳建设局网站,石家庄互联网公司排行榜在HW中#xff0c;最离不开的#xff0c;肯定是看监控了#xff0c;那么就要去了解一些wireshark的基础用法以及攻击的流量#xff01;#xff01;#xff01;#xff01; 1.Wireshark的基本用法
比如人家面试官给你一段流量包#xff0c;你要会用
1.分组详情
对于我…在HW中最离不开的肯定是看监控了那么就要去了解一些wireshark的基础用法以及攻击的流量 1.Wireshark的基本用法
比如人家面试官给你一段流量包你要会用
1.分组详情
对于我们这里看见的东西就是分组详情 其中它把osi分成了五层
网络接口层数据链路层网络层传输层应用层
2.过滤详情
总的来说其实过滤规则就是这样的 1.ip的过滤
那么下面我们来实操一下比如我想追踪一个为192.168.246.1的ip
ip.addr 192.168.246.1 但是这样的话是不是就无法直观的判断它是源还是地址所以我们就要增加过滤规则
ip.src 192.168.246.1 //源ip是192.168.246.1
ip.dst 192.168.246.1 //目的ip是192.168.246.1 2.过滤特定内容
比如如果在打CTF的时候我们想要去获得包中含有flag的包那么我们就可以这样做
http contains flag 然后我们点击追踪流这个经常用 这样的话就能看见一个完整的包了想招什么自行过滤 如果我们像要对某一个页面的流量进行检测那么就要这么写
http.request.uri contains /pikachu //模糊匹配
http.request.uri /pikachu //精准匹配3.过滤对应的端口
端口信息存在于传输层所以我们直接对其过滤就好
tcp.srcport 80
tpc.dstport 80 4.过滤请求方式
有的时候有的是POST有的是GET还有可能是PUT所以我们就要去过滤
http.request.method POST
http.request.method GET
http.request.method PUT3.攻击流量的分析
1.XSS的攻击流量
为了产生XSS的攻击流量我直接FUZZ了 那就随便逮住一个包来分析一下流量把 像XSS的流量一般都是包含什么script alert JavaScript这些的
那么怎么判断呢最简单的看返回包有咩有对script这样的东西html实体编码
如果是这样的话大部分就是成功了 再不行的话还有一种最简单的方法直接把整个流复制到一个htm的文件里面 并且打开看一下有没有弹窗有的话就是直接弹窗的 但是如果遇到一些逆天的payload呢
a hrefdata:text/html;blabla,#60#115#99#114#105#112#116#32#115#114#99#61#34#104#116#116#112#58#47#47#115#116#101#114#110#101#102#97#109#105#108#121#46#110#101#116#47#102#111#111#46#106#115#34#62#60#47#115#99#114#105#112#116#62#8203Click Me/a
也不用慌notepad走一手发现是html实体编码那么我们就要把#替换为空 然后上python只用拿前面几个就好就能大概判断是在XSS 2.RCE流量
对于RCE其实很好识别因为基本上都是一些特征的流量 如果能看见这样的话就基本上是稳了穿了 3.SQL注入流量
噢sql注入可怕的攻击hhhhh我没有抄袭
这个就直接用sqlmap去跑一下就好了 然后我们去看他的流量 看以看见有两个包直接复制去URL解码可以看见他是在联合注入 于是再去wireshark里面看内容可以看见它就是直接被脱了数据库 那如果是别人 --dump呢直接 也来看看 看见到了脱库的流量 4.文件上传流量
这个其实很好判断要么别人就是在FUZZ上传格式要么就是在尝试解析漏洞或者最简单我们直接看他的上传文件的内容 像这种又是php|| jsp ||asp又是GIF89Aevalassert还有一些特殊的函数的稳稳的文件上传
5.Webshell流量
这个就重要了这个基本上面试必问
像我们常见的蚁剑c冰蝎哥斯拉等等.....我们来看看它的流量
先准备一个木马 然后我们先去试试水这时候很多小白就会想了不是是不是我木马没有被解析怎么没有反应
如果你也用这样的疑问我只能说你对RCE理解的不对
eval是什么函数 是代码执行的函数ipconfig是代码嘛
所以正确的做法应该是这样
cmdsystem(whoami /groups); //这个结尾的分号不要忘了啊 可以看见直接是high就是说这个最起码是administrator的权限了直接无视UAC的
不信的话我们可以试一试
cmdsystem(net user test hongrisec2024 /add ); okay!差不多扯远了我们还是来说回蚁剑吧先来测试一下连接的流量 直接看他的包我这里没有选择编码于是所有流量都是明文传输 不要慌我们用notepad操作一下URL decode 好的看不懂问gpt 所以大概就是干了这么几件事情
先关闭了php的错误显示并且设置脚本执行时间不限制然后创建一个隐藏目录然后写两个函数其中的一个函数获取缓冲区内容并且输出
然后我们再去看一下它的执行命令时候的流量有点逆天 还是来总结一下
通过调用了php的systempassthrushell_exec这些命令执行函数来构造runcmd这个函数fe函数用来检验禁用的函数runshellshock函数检查有没有shellshock这个漏洞这个Linux漏洞当时真的是非常出名然后用回一开始连接的asoutput函数将输出结果返回给用户
但是如果人家蚁剑用的是base64编码呢 我们先去对结果解码一下 md不知道啥玩意我们逆向一波 看见是其中一段是能对上的我们单独解码那一段好的果然是 其实我们看请求包也能看出来有一个base64的字样 对于蚁剑的流量特征一般是这样的
ini_set(display_errors,0); 如果不经过编码的话这个就是直接的明文能看到这个基本上可以判断是webshell蚁剑可能使用特定的用户代理字符串例如“AntSword”或“Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko”等。混淆加密之后的流量的参数一般是以 0x的形式出现
