优化网站排名推荐公司,重庆网站房地产,网络服务器的七种分类,深圳网站设计公司在什么地方[TOC](这里写目录标题 wireshark抓包方法wireshark组成 wireshark例题 wireshark抓包方法
wireshark组成 wireshark的抓包组成为#xff1a;分组列表、分组详情以及分组字节流。 上面这一栏想要显示#xff0c;使用#xff1a;CtrlF
我们先看一下最上侧的搜索栏可以使用的… [TOC](这里写目录标题 wireshark抓包方法wireshark组成 wireshark例题 wireshark抓包方法
wireshark组成 wireshark的抓包组成为分组列表、分组详情以及分组字节流。 上面这一栏想要显示使用CtrlF
我们先看一下最上侧的搜索栏可以使用的方法。
http.request.method get //抓取http的request的get请求
http.request.method post //抓取http的request的post请求
http.request.uri /img/logo-edu.gif //抓取http请求的url为/img/logo-edu.gif的数据包
http contains FLAG //抓取内容为FLAG的数据包
ip.addr 192.168.224.150 //抓取包含次ip地址的数据包
ip.src 192.168.224.150 //抓取源地址为此地址的数据包
ip.dts 192.168.224.150 //抓取目的地址为此地址的数据包
eth.dst A0:00:00:04:c5:84 //抓取目标MAC地址的数据包
eth.addr A0:00:00:04:c5:84 //抓取包含此MAC的数据包
tcp.dstport 80 //抓取tcp目的端口为80的数据包
tcp.srcport 80 //抓取tcp源端口为80的数据包
udp.srcport 80 //抓取udp源端口为80的数据包组合
ip.addr 192.168.224.150 tcp.dstport 80 //抓取ciip地址并且使用tcp目的端口为80的数据包arp/icmp/ftp/dns/ip //抓取协为arp/icmp...的数据包udp.length 20 //抓取长度为20的udp数据包
tcp.len20 //抓取长度大于20的tcp数据包
ip.len 20 //抓取长度为20的ip数据包
frame.len 20 //抓取长度为20的数据包tcp.stream eq 0 //抓取tcp的分组0我们不难看出上侧搜索栏十分灵活基本已经满足我们抓包要求。
那么我们再看一下下面我们添加的一栏。 最前面是指三个框也就是搜索的位置 然后是宽窄这里的宽窄是指编码方式 接下来就是区分大小写后面的一栏就非常重要了这里我们主要介绍字符串和正则。 我们知道如果我们想要搜索一些http内容我们可以使用http似乎和上侧差不多但这里搜索的是字符串而上面则是协议。 正则则更简单了如果我们想要过滤一些文件比如php/.php$/更加快速。
这里是搜索的内容我们再看另一个点追踪数据流。 这里的追踪流可以是TCP也可以是HTTP这里打开一个看一下就好。 wireshark的使用就介绍到这。
wireshark例题
案例一 题目要求: 1.黑客攻击的第一个受害主机的网卡IP地址 2.黑客对URL的哪一个参数实施了SQL注入 3.第一个受害主机网站数据库的表前缀 (加上下划线例如abc_)
第一个比较简单我们从http入手进行查看。 查看一下数据包
很明显我们可以看到我们映射出的公网ip是受害方202.1.1.1。 那么这个地址对应的私网IP就是被攻击方也就是受害方。
也就是192.168.1.8
第二个SQL注入参数 sqlamp是扫描器而参数则在下面的内容中也就是list
第三个数据库表前缀 我们对数据的TCP流进行追踪 报错注入分析数据 那么前缀就是ajtuc_
案例二 题目要求 1.黑客第一次获得的php木马的密码是什么 2.黑客第二次上传php木马是什么时间 3.第二次上传的木马通过HTTP协议中的哪个头传递数据
查询post传参 存在一个特殊的文件/kkkaaa.php文件检查第一个文件
追踪一下TCP流
这里我们就可以看到此时的密码就是“zzz”
将下面的z0,进行base64解码 dirname可以用来检测所处路径和下面的所有文件
再过滤将过滤内容全部看一下 基本都是执行命令的
2、第二次上传木马的时间 此时的958的大数据文件比较醒目我们查看一下追踪一下TCP流 此时z0和z1都是base64编码而z2是16进制不难看出这里就是木马文件的上传所以时间就是数据包里记录的时间
3、HTTP的哪个头部传递数据 我们将z2的16进制拷贝一下十六进制转码查看一下数据
我们看着里面的内容非常混乱原因是将php代码进行了混淆不易发现。 先简单还原一下。
上面是进行了replace替换操作
执行替换之后出现了create_function. create_function可以在内部执行eval所以可以实现执行命令操作。 $x也是进行了一个拼接。
似乎还是不容易查看那么我们再努力一下
分析 传了两个值 然后函数是异或操作 先得出字符串长度然后将索引相同的值进行异或操作拼接起来最后复制 接收了两个数据一个是HTTP_REFERER一个是HTTP_ACCEPT_LANGUAGE 然后两个数据判断进行与运算 成立将REFERER字段进行拆解通过url的组成拆解 query字段取出复制q
下面再将q进行拆分
去除之后正则匹配匹配language,
在第一次匹配匹配到了zh-CN因为的原因结束了第一次匹配结束 第二次匹配匹配到了zh;q0.8,第二次匹配结束 第三次匹配匹配到en;q0.6。第三次匹配结束 这里还存在正则里面代表组所以正则匹配之后生成了一个数组里面的内容数组赋值给了m
然后又进入判断。 成立创建了一个SESSION赋值创建两个字符串。 m数组内容拼接i然后i和前面的值进行MD5取前三位再赋值后面亦如此 定义一个空字符串。循环拼接 判断h在字符串p的索引成立i放入数组此时i没有值截取p的从第3位到最后
再判断 成立拼接进数组的i里面此时i有值了 判断是否在里面再判断拼接 先截取再替换再base64解码最后异或解密。这一步至关重要 这一步主要是进行数据解压缩
在生成木马时进行了异或base64封装再替换最后拼接完成压缩。想要解压缩就要反其道而行之。 referer数据十分可疑language比较正常但是也是需要配置也就是说两者缺一不可所以最后使用的是referer头和language传递数据
