大家好,又见面了,我是你们的朋友全栈君。
流量分析
1.流量分析是什么?
网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。
CTF比赛中,通常比赛中会提供一个包含流量数据的 PCAP 文件,进行分析。
2.数据包分析
- 总体把握
– 协议分级
– 端点统计
- 过滤赛选
– 过滤语法
– Host,Protocol特征值
- 发现异常
– 特殊字符串
– 协议某字段
- 数据提取
– 字符串取
– 文件提取
3.工欲善其事,必先利其器。
- ——-wireshark
- ——-tcpdump
- ——-RawCap
- 一般情况下,非HTTP协议的网络分析,在服务器端用tcpdump比较多,在客户端用wireshark比较多,两个抓包软件的语法是一样的。
4.宝刀初现
- Wireshark捕获任何类型的网络数据包。
- 同时wireshark作为一个开源项目,来自全世界的开发者不断的优化wireshark
- wireshark是用C语言进行编写的。C语言的好处是直接操作内存,效率高https://wizardforcel.gitbooks.io/wireshark–manual/content/(中文使用文档)
5.宝刀长这个样子
6.这个包到底有多少协议
- Protocol Hierarchy 选项
– Statistics选项中的Protocol Hierarchy 选项中包含此数据包出现的所有协议
7.到底谁和谁对话
- Conversations选项
Statistics选项中的Conversations选项中包含了谁和谁进行了通信
事不过三,其余的大家自己研究。
统统过滤
字符串过滤:
常用过滤:
- 过滤ip,如源IP或者目标x.x.x.x:
– ip.src eq xxxx or ip.dst eq xxxx 或者 ip.addr eq xxxx
- 过滤端口:
– tcp.port eq(等于) 80 or udp.port eq 80
- 过滤MAC:
– eth.dst == MAC地址
- 协议过滤:
– 直接在Filter框中直接输入协议名即可,http udp dns
HTTP过滤
- http模式过滤
- http.request.method=”POST” 过滤全部POST数据包
- http.request.uri==”/img/logo-edu.gif”
- http contains”GET” 模糊匹配 http头中有这个关键字
- http contains”HTTP/1.” 版本号
- http.request.method==”GET”&& http contains”User-Agent:”
实践是检验真理的唯一标准
- 1.发现异常
- 2.指纹识别
- 3.明文传输
- 4.图片提取
一双明亮的大眼睛:
明文传输
指纹识别
其余常用指纹
- Awvs:
- acunetix_wvs_security_test acunetix
- acunetix_wvs acunetix_test
- Acunetix-Aspect-Password:Cookie:
- acunetix_wvs_security_test X-Forwarded-Host:
- acunetix_wvs_security_test X-Forwarder-For:
- acunetix_wvs-security_test Host:
- acunetix_wvs_security_test
- Netsparker:
- X-Scanner:NetsparkerLocation:
- NetsparkerAccept:netsparker/chechCookie:
- netsparkerCookie:NETSPARKER
- Appscan:
- Headers Content-Type:Appscan
- Content-Type:AppScanHeader
- Accept:Appscan User-Agent:Appscan
- Nessus:
- x_forwarded_for:nessus
- referer:nessus
- host:nessus
- sqlmap:
- User-Agent:sqlmap1.2.8#stable
图片提取
1.找到上传图片的数据包
2.追踪TCP流,选中右键追踪TCP流。
3.点击保存,使用winhex打开。删除红框中的东西,保存打开即可。
等级提升
- 1.目录扫描
- 2.一句话木马
- 3.流量包解密
目录扫描
1.分析流量包,看到是进行目录扫描
2.在最后发现可疑操作。
3.使用HTTP导出数据,使用php进行解压。
骑个马
1.由目录看出,应该是一句话木马上传之后
2.追踪流量发现为中国菜刀的流量
3.继续追踪发现有rar文件和一个png文件。提取即可
流量包解密
1.打开如下。
2.先破解无线密码
使用aircrack-ng.exe shipin.cap检查包信息得到无线的ESSID 0719
使用aircrack-ng.exe shipin.cap -w password.txt破解WPA密码
-
- 知道了无线ESSID和密码。然后解密数据包。
- 然后用airdecap-ng.exe shipin.cap -e 0719 -p 88888888利用ESSID和WPA密码进行解密
-
FTP协议分析
1.直接搜索ftp,发现三个文件
2..把文件提取出来看看。追踪TCP保存出来
3.尝试伪加密,解开。09改成00
4.然而flag没在这里
5.还有一个key.log.能发现这是一份NSS Key Log Format的文件,而这个文件是能解密出 Wireshark 里面的 https 流量的。把他保存出来,然后在以密钥发方式导入(Edie->preferences->SSL)
JMC —-胖丫
转载于:https://www.cnblogs.com/pangya/p/9936024.html
发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/137800.html原文链接:https://javaforall.cn
【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛
【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...