通信流量分析

宗旨：根据流量中的请求包代码特征来判断

一、xss流量分析（以dvwa靶场为例）

1、打开wireshark选择dvwa靶场所在的网络

2、在靶场中提交xss语句并执行成功

3、暂停抓包，开始对已有流量进行分析

4、先看协议分级，用的udp、tcp

5、看会话，有4个流即4次握手

6、点击右下角follow，开始追踪。

7、6图中，在请求中发现name=后边的值为xss语句。所以从图中可以知道，此次攻击为xss攻击，攻击地址为host值：192.168.41.138。

8、判断是否攻击成功的第一种方法：在下边的响应代码中找有没有攻击语句，如果有则说明攻击成功。

9、判断是否攻击成功的第二种方法：新建一个html文件，将响应代码复制进去，打开后有弹窗，说明执行成功。

二、命令和代码执行流量

通俗一点讲，代码执行是执行PHP代码。命令执行是执行linux系统下的命令。
常见代码执行函数：eval（）
常见命令执行函数：system()

1、dvwa靶场命令执行

2、wireshark追踪流

3、由图得命令执行攻击

4、响应代码中发现执行成功
代码执行：

三、sql注入流量分析

1、wireshark抓到很多数据流，可以看出为sql注入，但具体语句不知，全为url编码

2、导出为csv

3、复制内容到notepad，利用插件进行url解码

4、根据解码内容可知为sql注入中的盲注

四、文件包含流量分析

五、文件上传流量分析

六、密码爆破流量分析

密码在不断变化


通过content length判断出爆破的密码

七、webshell通信流量

其实就是连接软件将代码进行了编码