Misc 总结 ----流量分析 场景模拟

admin 2022年3月1日11:54:10评论159 views字数 2439阅读8分7秒阅读模式

这是misc系列的最后一篇文章了。这篇文章主要由三个场景构成。

网络协议—暴力破解

实验目的

掌握暴力破解流量的分析方法
学会利用wireshark的filter过滤出有价值的信息

实验环境

  • 操作机:Windows XP

    • Wireshark

    • 实验工具:

实验内容

  这是一些本地服务被暴力破解的流量。提交Flag格式flag{尝试登录的次数_服务正确的密码},如尝试98次登录,第98次登陆成功,使用密码123456则flag为flag{98_123456}

实验一

整体分析流量包

方法一 使用wireshark的统计功能

wireshark菜单栏提供了功能,协议分级。本流量包全是已经过滤好的FTP流量方便分析。统计 - 协议分析 :

Misc 总结 ----流量分析 场景模拟

通过这个功能是可以快捷的分析出流量包的都有一些什么协议,以及各种协议的占比。

方法二 过滤器的应用

通过前面实验对于FTP协议的学习,我们知道当返回码是230的时候用户成功登录。

应用过滤器ftp.response.code==230:

Misc 总结 ----流量分析 场景模拟然后在第一个数据包右键追踪TCP流:

Misc 总结 ----流量分析 场景模拟


可以知道登录用户名ubuntu,成功登陆的密码:swings666。

接下来查找暴力破解尝试登录的次数。暴力破解用户的密码,我们可以直接过滤客户端发送的ftp命令:pass,应用过滤器ftp.request.command == "PASS"

Misc 总结 ----流量分析 场景模拟



然后通过 统计 - 捕获文件属性 - 统计,已显示:


Misc 总结 ----流量分析 场景模拟


可以获知一共进行了41此密码尝试。所以综上Flag为flag{41_swings666}

网络协议-端口扫描

实验目的

了解端口扫描的原理
分析端口扫描工具的具体操作
通过流量还原扫描的结果

实验环境

  • 操作机:Windows XP

    • Wireshark2.2

    • binwalk for windows

    • 实验工具:

实验内容

  这是一些黑客使用扫描工具对目标主机进行扫描的流量,请问目标主机开放了哪些端口?对80端口的扫描中,是否有得到可以访问的目录?(flag格式:flag{端口号_端口号_YES/NO}端口号按从小到大排序,如flag{10_15_5111_YES})

实验一

  先分析目标主机开放的端口。

方法 观察TCP流

  • 操作步骤详解

使用wireshark载入scan.pcapng,得益于wireshark会给我们标记不同数据包的颜色,我们可以看到大量的由192.168.233.128发给192.168.233.131不同端口的TCP,SYN报文:

Misc 总结 ----流量分析 场景模拟

直接跟着这些TCP数据包,往后面看:


Misc 总结 ----流量分析 场景模拟


可以看到,向21,22,80端口发送的SYN是成功建立了TCP连接的,意味着端口开放。

实验二

  继续分析流量,查看扫描端口后做了什么。

方法一 观察HTTP流量

先大致浏览一下后面的流量包,我们可以直接应用过滤规则:http过滤http流量分析。

Misc 总结 ----流量分析 场景模拟


结合之前所讲,我们知道当http访问成功的时候,是会返回http状态码,"200,ok"的。我们目前分析的流量包HTTP数据不是很多,可以直接去看,查找。观察过滤出来的http流量是没有200状态码的,也就没有获得任何目录或文件信息。

注释

有两个方法可以应用过滤器,在大量的数据包中过滤出我们想要得到的东西:

  1. 在分组详情中右键,应用过滤器。

Misc 总结 ----流量分析 场景模拟


    2. 使用filter的表达式功能。


Misc 总结 ----流量分析 场景模拟


实验三

分析FTP和ssh操作

方法一 FTP操作

序号为2203及附近的FTP数据包,获取了FTP服务器的banner欢迎信息,然后尝试了采用TLS方式连接和匿名用户登录等操作。

方法二 SSH操作

获取到SSH的版本协议等信息:SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu2.1

综上,flag为:flag{21_22_80_NO}

网络协议-漏洞分析

实验目的

分析入侵者的行为
了解二进制漏洞利用形式

实验环境

  • 操作机:Windows 7

实验工具

  • wireshark 2.2.*

实验内容

  分析入侵者如何拿到服务器权限

方法

  • 操作步骤详解

过滤HTTP流量,可见192.168.233.128访问了192.168.233.133的80端口,并成功获取了页面。h页面文件大,可以提取出来,使用浏览器打开。

我们得知这是一个Easy File Sharing Web Server然后注意到HTTP流量异常之处:

Misc 总结 ----流量分析 场景模拟

此时应该还不明白这个http数据包的作用。继续分析:


Misc 总结 ----流量分析 场景模拟



注意到Server192.168.233.133主动向192.168.233.128的8888端口建立了tcp连接,然后192.168.233.128向192.168.233.133发送了大量数据。

这个过程说明server主机已经被控制。通过查找Easy File Sharing Web Server的相关漏洞,我们可以了解到这是一个存在于Easy File Sharing Web Server7.2版本的缓冲区溢出漏洞。而之前畸形的HTTP数据包就是漏洞的payload。

总结

到此,这个misc系列就告一段落了,附件如下!


  1. https://xz.aliyun.com/forum/upload/affix/20180122223021-c6d35236-ff80-1.zip

  2. https://xz.aliyun.com/forum/upload/affix/20180122223028-cadb57ac-ff80-1.zip

  3. https://xz.aliyun.com/forum/upload/affix/20180122223037-d05c5686-ff80-1.zip

论坛邀请码

请各位师父,多多发表文章,论坛会固定清理不活跃用户https://www.cnsuc.net/user-create.htm (论坛注册地址)0CFF7A7A219D51FD6E94ADF3C94230EB9394

来源:先知 

注:如有侵权请联系删除

Misc 总结 ----流量分析 场景模拟

欢迎大家加群一起讨论学习和交流
(此群已满200人,需要添加群主邀请)

Misc 总结 ----流量分析 场景模拟

从现在开始 不留余力地努力吧,

最差的结果 也不过是大器晚成。


原文始发于微信公众号(衡阳信安):Misc 总结 ----流量分析 场景模拟

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月1日11:54:10
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Misc 总结 ----流量分析 场景模拟https://cn-sec.com/archives/808269.html

发表评论

匿名网友 填写信息