数据包获取
-
直接在官方提供包进行下载,各种包都有。缺点是包比较老
https://wiki.wireshark.org/SampleCaptures#SMB-Locking
-
自己抓,自己动手丰衣足食。
Smb协议包分析
我这里直接用官方包https://wiki.wireshark.org/SampleCaptures?action=AttachFile&do=get&target=smbtorture.cap.gz
wireshark分析
用官方的包简单分析一下第一次会话。
第一次通信
1.首先是三次握手
-
双方协商加密协议
-
进行身份认证。然后客户端提出自己想访问的网络资源
-
然后就是一堆查询和传输
-
最后就是关闭连接
Brim分析
接下来我们用Brim分析一下smb包,看看brim有多香。
-
把包导进来,按时间进行排序,方便对比。
Smb的一堆操作被Brim简化成了三条信息。
-
三次握手
可以很清晰的看到这次通信干了啥。
-
smb认证
-
请求对应的网络资源
继续看下一个包的通信
可以看到有文件相关操作
如果想进行详细分析,直接点击右上图标还可以在wireshark中定位到本次会话
如下
Brim真香
Brim的官方网站:https://www.brimsecurity.com/
项目地址:https://github.com/brimsec/brim
本文始发于微信公众号(safe6安全的成长日记):通过分析smb通信来看Brim神器
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论