点击上方蓝字·关注我们
假设您是一名网络安全工程师,需要对某公司的公司进行数据分析,分析黑客获取电脑权限进行的操作,我们本章主要以分析案例数据包进行分析关键数据。
01
1.使用Wireshark抓包分析dump.pcapng数据包文件,找到了黑客的IP地址,改为黑客的IP地址作为标记值(如:172.16.1.1)提交;
tcp.connection.syn
FLAG:172.16.1.110
02
2.通过分析数据包文件dump.pcapng分析出黑客通过工具对目标服务器的某个服务进行了密码暴力枚举渗透测试,将服务对应的端口按照从小到大的顺序依次排列为标志值(如:77) / 88/99/166/1888)提交;
ip.src == 172.16.1.110 and tcp.connection.syn
FLAG:21/22/23/80/3306
03
3.通过分析数据包文件dump.pcapng,发现黑客已经获取到目标服务器基本信息,窃取黑客获取到目标服务器主机名作为标记值提交;
过滤telnet协议,ctrl+F 搜索 login
FLAG:SecTestLabs
04
4.黑客扫描后可能首先对目标服务器的某个服务实施了攻击,继续查看数据包文件dump.pcapng分析出黑客成功破解了其中服务的密码,将该服务的版本号作为标记值(如:5.1.10)提交;
ip.addr == 172.16.1.110 and tcp.port == 3306
FLAG:5.7.26
05
5.继续分析数据包文件dump.pcapng,黑客通过数据库写入了木马,将写入的木马名称作为标志值提交(名称不包含后缀);
FLAG:horse.php
06
6.继续分析数据包文件dump.pcapng,黑客通过数据库写入了木马,将黑客写入的一句话木马的连接密码作为标记值提交;
FLAG:lqsym
07
7.继续分析数据包文件dump.pcapng,发现黑客连接一句话木马后查看了什么文件,将黑客查看的文件名作为标记值提交;
http contains "horse.php"这样过滤发现3条最后两条读取了/etc/passwd文件
通过分析文件可以看到有一个suictsr247用户
FLAG:passwd
08
8.继续分析数据包文件dump.pcapng,黑客可能找到异常用户后再次对目标服务器的某个服务进行了密码暴力枚举渗透,成功破解出服务的密码后登录到服务器中下载了一张图片,将图片文件中的英文单词作为标记值提交。
ftp-data找到最大的导出分组字节流另存为jpg即可。
方法二: 搜索suictsr247数据包,发现对ftp进行爆破
过滤出响应返回值230即成功登录ftp服务器的数据包
ftp contains "230"
FLAG:harmony
关注我们
点分享
点收藏
点在看
点点赞
原文始发于微信公众号(鱼影安全):Wirehark数据分析与取证dump.pcapng
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论