Web安全—流量分析（墨者靶场）

Web安全—流量分析（墨者靶场）

提要：本文主要记录墨者靶场中流量分析（电子取证）的思路过程，注重学习思路过程并非问题答案。

问题说明：

分析数据包找出上传Webshell的IP地址，数据包可在webshell数据包这里下载
提取码：krlv

分析思路:

使用Wireshark打开数据包，wireshark使用可参考文章Web安全工具—WireShark使用

方法一：

1，因为题目已说明是webshell上传，同时文件上传通常使用post请求方法，所以我们只需要分析http协议流量，过滤请求方法为post的http流量：

过滤表达式：http.request.method==POST

2，通过上述步骤1我们根据没法具体找到文件上传的数据包，此时我们通过webshell常用函数入手，我们先判断网站环境属于什么脚本环境：

过滤表达式： http matches "(.*?)powered by"  (正则匹配协议内容，很好用）

判断此环境为PHP/5.4.45脚本环境
3，因为PHP环境中webshell常用函数为eval(),assert()等，我们尝试使用正则过滤eval函数：

过滤表达式：http matches "(.*?)@eval"，发现只有一条HTTP流符合

尝试追踪http流查看内容，发现一句话木马脚本，即可判断webshell上传源IP为112.192.189.124

方法二：

根据文件上传HTTP协议中的特征字段boundary来直接进行过滤判断：

过滤表达式：http matches "(.*?)boundary"，也可找到目标http流

文件上传HTTP数据包可参考文章：Web安全—文件上传漏洞HTTP数据包分析

总结：

1，Web攻防流量攻防中要按照对应的攻击特征去查找过滤，Wireshark中多使用http matches “(.*?)boundary"X”（实测很好用）
2，学习了解攻防原理，了解不同攻击特征

文章中涉及学习内容：

Web安全—文件上传漏洞HTTP数据包分析
Web安全工具—WireShark使用
流量分析基础篇
CTF web题型流量分析（ctf之流量分析）第三课 工具使用-流量分析