准备信息安全铁人三项的数据赛,这是实验吧上的教学视频,顺手截了下图,给学弟做下参考(更多高级用法搜帖子,书籍的话有本诸葛建伟前辈翻译的《wireshark数据包分析实战 第二版》可以系统的学习下)。
在实际比赛中,由于数据包一般都比较大,先通过脚本进行下流量清洗会有事半功倍的效果(感觉上kali下wireshark命令行工具tshark以及TCPdump效率更高,因为是命令行的原因,反而更有利于减少干扰,保持专注)。
以下为几点注意事项:
1、wireshark过滤DHCP时直接输入dhcp会报错,应输入bootp
2、利用过滤http,导出http,保存成相应文件。
arpr.exe爆破压缩包
3、ftp
ftp-data or ftp
STOR命令为上传命令
DELE删除
CWD请求目录
LIST列出目录内容
4、urldecode解码,解码后z0部分base64解码,PHP代码在线格式化(输入头<?php 点击格式化即可)
5、一般先url解码,载base64解码
6、攻击行为特征
404 目录扫描
select…from等关键词——sql注入
POST请求 用户名和密码——爆破
/../../.. ——测试文件包含
echo等——命令执行
http、POST、”@eval“——一句话木马特征
大量404——目录扫描
内网环境,因此攻击者一般为外网ip,被攻击者为内网
ip.addr ==攻击者ip and http.request.method ==POST
最后一条login信息,中提交的用户名密码,且下一次访问换了目录,一般为攻击者成功破解并登录
7、关键字
过滤多个关键字:ip.addr==攻击者IP and http.request.uri matches "edit|upload|modify"
文件修改关键字:edit/upload/modify
登录关键字:admin/login/manage
8、菜刀
查看菜刀连接地址在上一层传输层
ctrl+shift+n追踪到下一条
注:如果是明文说明是下载文件;base64编码则是读取文件内容
