Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是检索取网络封包,并同时显示出最详细的网络封包数据。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
假设您是一名网络安全工程师,需要对某公司的公司进行数据分析,分析黑客获取电脑权限进行的操作,我们本章主要以分析案例数据包进行分析关键数据。
1.分析WIndows 7桌面下的Alpha-1. pcapng致据包文件,通过分析数据包Apha-1.pcapng找出恶意用户第一次访问服务器的数据包是第几号,并将该号数作为Fag提交;
使用过滤规则:
tcp.connection.syn
flag:1
2继续查看数据包文件Alpha-1 pcapng,分析出恶意用户扫描了哪些端口,并将全部的端口作为Fiag (形式:路口1,端口2端口3…端口n)从小到大提交;
使用过滤规则
ip.src == 192.168.1.25 and tcp.flags.reset == 1
flag:21,23,80,445,3306,3389
3.继续查看数振包文件Alpha-1.pcapng分析出恶意用户登入后台所用的用户名是什么,并将用户名作为Flag (形式:用户名)提交;
筛选http协议 搜索username
flag:’or’1’=’1
4.继续查看数据包文件Alpha-1.pcapng分析出恶意用户在第几个数据也到第几个数据包之间利用了MIME漏洞,井将该数据包之间的号数作为Flag(格式: 1.30) 提交;
MIME漏洞是文件上传的一种绕过类型 类型有jpg,gif 等等 这里应该是jpg的。
这里先导出 http流找到登入的地方 这里特征不一样的是SACK_PERM=1可以判断是954开始的971结束 但是 下面为啥还有两条不是呢!
flag:954971
5.继续查看数据包文件Alpha-1 pcapng分析出恶意用户连接一句话木马的密码是什么,并将一句话密码作为Flag (形式: 一句话密码)提交;
flag:Q
6.继续查看数据包文件Alpna-1.pcapng分析出恶意用户第二次写入一句话木马是在哪个路径,并将该路径以及文件名和后缀作为Flag提交;
flag:c:/phpstudy/www/shell2.php
7.继续查看数据包文件Alpha-1.pcapng分析出恶意用户下载了什么文件,并将该文件内容作为Flag提交;
查看tcp数据流然后改为原始数据,另存为然后在改为压缩包格式文件 里面有个flag.txt flag就在里面
flag:DPS
最后说明一下 :数据包只是博主个人分析的情况 ,如果不对欢迎指出错误(感谢)
最后祝大家每天开心,希望对大家有所帮助!
