通信流量分析

宗旨:根据流量中的请求包代码特征来判断

一、xss流量分析(以dvwa靶场为例)

通信流量分析_第1张图片
1、打开wireshark选择dvwa靶场所在的网络
通信流量分析_第2张图片
2、在靶场中提交xss语句并执行成功
通信流量分析_第3张图片
3、暂停抓包,开始对已有流量进行分析
通信流量分析_第4张图片
4、先看协议分级,用的udp、tcp
通信流量分析_第5张图片

5、看会话,有4个流即4次握手
通信流量分析_第6张图片

6、点击右下角follow,开始追踪。
通信流量分析_第7张图片

通信流量分析_第8张图片
7、6图中,在请求中发现name=后边的值为xss语句。所以从图中可以知道,此次攻击为xss攻击,攻击地址为host值:192.168.41.138。
通信流量分析_第9张图片
8、判断是否攻击成功的第一种方法:在下边的响应代码中找有没有攻击语句,如果有则说明攻击成功。
通信流量分析_第10张图片
9、判断是否攻击成功的第二种方法:新建一个html文件,将响应代码复制进去,打开后有弹窗,说明执行成功。

二、命令和代码执行流量

通俗一点讲,代码执行是执行PHP代码。命令执行是执行linux系统下的命令。
常见代码执行函数:eval()
常见命令执行函数:system()
通信流量分析_第11张图片

1、dvwa靶场命令执行
通信流量分析_第12张图片
2、wireshark追踪流
通信流量分析_第13张图片
3、由图得命令执行攻击
通信流量分析_第14张图片
4、响应代码中发现执行成功
代码执行:
通信流量分析_第15张图片
通信流量分析_第16张图片

三、sql注入流量分析

通信流量分析_第17张图片
1、wireshark抓到很多数据流,可以看出为sql注入,但具体语句不知,全为url编码
通信流量分析_第18张图片
2、导出为csv
通信流量分析_第19张图片
3、复制内容到notepad,利用插件进行url解码

通信流量分析_第20张图片
4、根据解码内容可知为sql注入中的盲注

四、文件包含流量分析

通信流量分析_第21张图片

五、文件上传流量分析

通信流量分析_第22张图片

六、密码爆破流量分析

通信流量分析_第23张图片
通信流量分析_第24张图片
密码在不断变化
通信流量分析_第25张图片
通信流量分析_第26张图片
通过content length判断出爆破的密码

七、webshell通信流量

通信流量分析_第27张图片
其实就是连接软件将代码进行了编码

你可能感兴趣的:(wireshark,网络,web安全,安全)