精华内容
下载资源
问答
  • Wireshark流量分析

    2018-12-17 18:51:33
    用于网络安全流量分析的工具,可以配合burpsuite抓包工具一块使用
  • wireshark流量分析实战

    千次阅读 多人点赞 2020-04-10 16:18:18
    wireshark Wireshark(前称Ethereal)是一个网络...下面是在网上找的数据包资源,来自2018的铁人三项流量分析题目,一共有二十题,共有六个数据包,本人习惯一题一题来,不过可能是个很不好的习惯 1.黑客的IP是多少...

    wireshark

    Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。

    在这里插入图片描述

    下面是在网上找的数据包资源,来自2018的铁人三项流量分析题目,一共有二十题,共有六个数据包,本人习惯一题一题来,不过可能是个很不好的习惯

    1.黑客的IP是多少

    在这里插入图片描述

    很明显这也是我们平常干的事情phpinfo

    黑客IP:202.1.1.2

    2.服务器1.99的web服务器使用的CMS及其版本号(请直接复制)

    在这里插入图片描述

    一般网站的CMS会显示在网站底部,找到一个以192.168.1。99的响应包直接查看底部

    诺,CMS就是EasyTalk X2.0.1

    3.服务器拿到的webshell的网址(请输入url解码后的网址)

    服务器拿到webshell的网址很大可能是上传一句话拿webshell,那么设置过滤器

    http && (ip.src==202.1.1.2 || ip.dst == 192.168.1.99)
    

    在这里插入图片描述

    很明显的一句话,将url解码

    http://202.1.1.1/index.php/module/action/param1/${@print(eval($_POST[c]))}
    

    4.服务器1.99的主机名

    这里又不能用菜刀连接,也找不到攻击者执行的一些查看信息的代码,咦等等刚刚又phpinfo呀

    现在只需要验证1.99是否返回了请求,返回了请求直接查看源码

    在这里插入图片描述
    主机名:

    Linux simplefight1 2.6.32-431.el6.x86_64 #1 SMP Fri Nov 22 03:15:09 UTC 2013 x86_64
    

    5.网站根目录的绝对路径(注意最后加斜杠)

    绝对路径phpinfo里也能查到
    在这里插入图片描述

    /var/www/html/easytalk
    

    6.黑客上传的第一个文件名称是什么

    这里使用过滤器

    http && (ip.src==202.1.1.2 || ip.dst == 192.168.1.99) && http.request.method==POST
    

    在这里插入图片描述

    application/x-www-form-urlencode是是一种表单提交方式,该方式是采用urlencode的,提交的数据都是经过加密的,服务端需要decode才能正确获得数据。

    base64解码得

    /var/www/html/easytalk/tunnel.nosocket.php

    7.黑客进行内网扫描,扫描的端口都有哪些(端口从小到大,用英文逗号分隔)

    在这里插入图片描述

    这样答案很明显啦

    8.服务器2.88的ftp服务账号密码(格式:账号/密码)

    黑客需要以攻克的1.99来作为跳板来访问2.88的ftp服务器,设置过滤器

    ftp && ip.src == 192.168.1.99
    

    在这里插入图片描述

    黑客经过爆破之后拿到密码123456,用户名为administrator

    9.黑客成功登陆ftp的时间(格式:10:15:36)

    回到上题选中的部分,查看

    在这里插入图片描述

    时间为14:07:15

    10.黑客在ftp中下载的敏感文件名称是什么

    在这里插入图片描述

    发现黑客执行了一系列命令,pwd,cwd,pasv,list
    并没有下载敏感数据,移步到第三个数据包

    在这里插入图片描述

    这里很明显是下载了/phpstudy/www/config/config_db.php

    11.服务器2.88中用户名为admin_zz的web后台管理员的密码

    既然这里给出用户名,直接设置过滤器

    ip.addr == 192.168.1.99 && http contains "admin_zz"
    

    在这里插入图片描述

    明显如斯,密码为1q2w3e4r

    12.服务器2.88的mysql账号密码(格式:账号/密码)

    这里也应该是查看黑客下载的敏感文件中的内容,设置过滤器ip.addr == 192.168.1.99 && ftp-data

    在这里插入图片描述
    在这里插入图片描述

    很明显啦

    con_db_pass = “S1mp13zz”

    13.服务器2.88的mysql服务中有和admin有关的三个表,请按照黑客的查询顺序作答,使用空格分隔

    在这里插入图片描述

    根据上题可以发现这个表信息,设置过滤器

    ip.addr == 192.168.1.99 && mysql contains "met_"
    

    刚好出现了三个请求三个响应

    在这里插入图片描述

    分别查看信息

    met_admin_array,met_admin_column,met_admin_table

    14.请列出黑客设置的genreal log的绝对路径(将路径复制出来,区分大小写)

    mysql日志–>设置过滤器

    ip.addr == 192.168.1.99 && mysql
    在这里插入图片描述
    发现第一个请求报错了,报错返回如上内容,说明这里黑客希望留一个shell但是这里报错了;
    但是之后却没有报错,应该是黑客试探的结果,我习惯从后往前找,倒数第二个有发现!

    在这里插入图片描述

    绝对路径为c:/phpStudy/WWW/config/config.php

    15.路由器的品牌、型号、版本(请直接复制粘贴)

    涉及到路由器,设置就过滤器

    ip.addr == 192.168.0.1 && http
    

    找了二三四的数据包都没有,回到第一个数据包,发现

    在这里插入图片描述

    这里可以发现路由器的相关信息很明显啦

    16.列出路由器的所有IP地址(格式:从小到大,用英文逗号分隔)

    在这里插入图片描述

    还是使用上一步使用的过滤器继续分析,发现许多重复登录,应该是黑客在进行爆破

    在这里插入图片描述

    最后到这里的时候,error_code为0,此前是700,说明黑客已经爆破成功,这里需要知道所有路由器的IP地址

    只有往下分析黑客的举动找到信息

    在这里插入图片描述

    这里发现了路由器IP,总共有三个

    192.168.0.1
    202.1.1.1
    192.168.12.173

    17.在路由器的端口监控中,监控端口和被监控端口分别是多少,例,1号端口监控2/3/4号端口:1–>2,3,4

    这里提到监控端口,还是设置过滤器慢慢找

    ip.addr == 192.168.0.1 && http &&contains “port”
    

    在这里插入图片描述
    很明显了,监控端口是3,被监控是1,2

    18.路由器一共有几个接口?其中有几个WAN口启用?有几个LAN口启用(格式:用英文逗号分隔)

    这里只能说明一点,有时按顺序并不好,因为在做上面IP那道题的时候我发现有几个开放的接口信息,叫t_name

    直接过滤一下:

    在这里插入图片描述

    哦豁第三个就是,然后发现WAN1、WAN2、LAN1、LAN2这四个接口都打开了,最后这个LAN3接口是关闭的

    19.路由器的系统路由表中一共有几条?第三条的子网掩码是多少。例: 255 255.255.0则为24 (格式:用英文逗号分隔)

    ip.addr == 192.168.0.1 && http contains "gateway"
    

    在这里插入图片描述

    这里路由表一共有5条,第三条子网掩码为255.255.255.0

    20.路由器的5Gwif名称是什么,信道是多少(格式:名称信道)

    设置过滤器

    ip.addr == 192.168.0.1 && http contains "5G"
    

    在这里插入图片描述

    至此完结

    展开全文
  • wireshark流量分析--巧观察

    千次阅读 2018-09-17 22:05:59
    在CTF流量分析中,在流量包中可以隐藏好多东西,上面有篇文章说道在有大量流量包的情况下要善于运用过滤协议,来节省时间。但是,有些情况下,过滤是过滤不出东西的,比如在这道题目中我们运用过滤协议过滤不出东西...

           在CTF流量分析中,在流量包中可以隐藏好多东西,上面有篇文章说道在有大量流量包的情况下要善于运用过滤协议,来节省时间。但是,有些情况下,过滤是过滤不出东西的,比如在这道题目中我们运用过滤协议过滤不出东西,但是仔细观察,发现有流量特别大的包,这就显得很异常。追踪流发现:

           504B0304是明显的ZIP的十六进制头,把这一段分离出来复制到winhex中,保存改后缀为zip,解压得到一个二维码,扫码得到flag。

           此题突破口就是在流量包中发现数据过大的流量包,,根据这个可疑信息,追踪流发现里面包含着一个压缩包,进行分离。

    展开全文
  • 首先查看整个流量包,发现基本上为TCP和HTTP的流量数据(帧)。 还是老套路,网络攻击一般都是通过web来实现,那就先从http开始筛选。 由下图可知,数据帧都是在做一个正常的网页图片的GET请求,有一些少量的POST...

    首先查看整个流量包,发现基本上为TCP和HTTP的流量数据(帧)。

    还是老套路,网络攻击一般都是通过web来实现,那就先从http开始筛选。
    在这里插入图片描述

    由下图可知,数据帧都是在做一个正常的网页图片的GET请求,有一些少量的POST请求,那下一步再次筛选POST请求。
    在这里插入图片描述
    这下结果显而易见了,大部分POST请求都在访问一个html文件,而唯独有一个数据帧在对upload文件夹进行上传

    在这里插入图片描述
    点开该数据帧,发现这个一个任意文件上传的漏洞,通过修改content-type来实现绕过,并且攻击者通过漏洞上传了一个一句话木马。

    在这里插入图片描述

    展开全文
  • WireShark流量分析(暴力破解)

    千次阅读 2021-02-08 20:01:02
    首先查看整个流量包,发现基本上为TCP和HTTP的流量数据。 依据图可知,是大量tcp,少量http,从少的开始 我们熟知对于web中HTTP协议中的POST方式的危害性最大,接下来将流量包进行筛选 发现POST方式中,有一个频繁...

    首先查看整个流量包,发现基本上为TCP和HTTP的流量数据。

    依据图可知,是大量tcp,少量http,从少的开始
    在这里插入图片描述
    我们熟知对于web中HTTP协议中的POST方式的危害性最大,接下来将流量包进行筛选
    在这里插入图片描述
    发现POST方式中,有一个频繁出现的IP地址一直在进行登录的尝试,现在初步判定为暴力破解

    那再次进行筛选,单独将此IP筛选出来
    在这里插入图片描述
    从开始看到结尾,此IP总共进行5秒钟的登录,判定在进行暴力破解

    在这里插入图片描述
    通过数据流量的长度来判断,攻击者是否有成功的破解到账户和密码
    在这里插入图片描述
    如上图可知,数据包的长度与其他的数据流量长度不一致,很容易就可以判断出区别,点击进入数据流量中后,发现此IP成功请求到了main.php,应该是登录页面,表示他已经成功暴力破解到了账户和密码
    在这里插入图片描述

    展开全文
  • wireshark流量分析密码-学习笔记

    千次阅读 2020-08-18 12:00:49
    流量抓包文件:https://xpro-adl.91ctf.com/userdownload?filename=流量分析.zip&type=attach 解题思路 用wireshark打开流量报,过滤出http和post请求: http && http.request.method == "POST" ...
  • wireshark流量分析--巧用过滤

    千次阅读 2018-09-17 21:31:12
    流量分析在CTF的杂项中占着很重要的一个部分,其实流量分析一般来讲也有一些小的技巧,在拿到流量包的时候,可以先利用过滤规则,过滤一波例如key,ctf,flag。这在ctf中将会是一个十分可以提高效率的工作。 现在...
  • 攻击者可以对证书进行修改,攻击的效果是:内网可以访问服务器的web,外网不能访问,就是因为服务器没有受信任的证书。...这种攻击可以从流量分析中看出,如果服务器没有提供证书,就有这种可能 ...
  • wireshark流量分析

    2021-03-13 09:11:43
    如何查看流量中各协议的占比,如p2p协议的占比之类的</p>
  • 首先拿到这个流量包,还是先对整个包中的帧进行初步的查看,发现为大量的TCP数据帧和HTTP数据帧。 网络攻击一般来自于web,是web那就一定有http,接下来对http进行筛选 发现为大量的GET请求,GET请求在实质性的...
  • 该压缩捕获了多种协议和场景的流量包,可以很好地帮助初学者和讲师进行案例分析,该流量的捕获过程十分不容易,包括各种模拟各种场景进行捕获流量
  • Wireshark分析流量1

    2020-11-26 22:16:25
    大致浏览,发现是不同地址在访问192.168.10.5:80,设置过滤看看 ... 发现是不同的ip在用get在向服务器上传图片,量有点大,先把源ip设置一个 如上图,没有发现什么异常,get请求后没有参数,换个源ip ...
  • wireshark分析带宽流量

    千次阅读 2020-09-18 18:01:11
    小鱼儿想通过wireshark分析一下某设备的网络传输特性,但是对wireshark没有那么熟悉,一度产生怀疑,希望这篇短文可以帮到你。 目标:1、设备A传输带宽分析; 2、设备A传输数据包速分析; 操作: 统计 --> I...
  • 黑客通过wireshark抓到管理员登陆网站的一段流量包(管理员的密码即是答案) 注意:得到的 flag 请包上 flag{} 提交 解题思路 下载文件用Wireshark打开,根据题目可以分析出flag信息为管理员登陆网站时的密码,该请求...
  • 我们根据题目提示可以看到提示我们flag可能在这几个协议中我们打开wireshark分析下 虽然我是直接一开始就搜的icmp.... 我们在往下看, 是不是看的有点眼熟接下来我们顺着一个一个看,便可以得到flag{Icmp_...
  • 流量分析: 情况是第一次通信,有路由器存在,跨网段的通信。 ① PC1开始Ping PC2,因为是跨网段的通信,所以要先发ARP包请求网关的MAC地址,要拿到网关的MAC地址才能正确封装数据。 这时ARP包(注意这里是ARP包,...
  • Wireshark分析流量包案例

    千次阅读 2021-03-08 10:39:34
    使用Wireshark查看并分析attack.pcapng数据包文件,通过分析数据包attack.pcapng找出黑客的IP地址,并将黑客的IP地址作为FLAG(形式:[IP地址])提交: 解: 首先筛选一下http协议的get传参和post传参的数据包 ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 8,887
精华内容 3,554
关键字:

wireshark流量分析