wireshark实战操作

使用wireshark分析不同攻击流量

1、暴力破解

短时间内产生大量流量,且只有某个或多个参数在变化

1717408185613

1717408156899

用bp做的爆破测试,不到一分钟的时间…

2、冰蝎

流量通常是加密的,存在明显的冰蝎特征

Accept::*/*;q=0.01 Connection:keep-alive(冰蝎默认长链接)

建立连接后的cookie存在特征字符。所有请求 Cookie的格式都为: Cookie: PHPSESSID=; path=/;

1717411534620编辑

请求头中可能包含Pragma: no-cache ,Cache-Control: no-cache

1717411600804编辑

3、蚁剑

  • 每个请求实体都存在@ini_set(“display_errors”, “0”);@set_time_limit(0)开头。并且后面存在base64等字符

  • 使用 随机数+响应内容+随机数使用base64加密的payload,数据包存在以下base加密的eval命令,数据包中的payload几个分段内容都是用了base加密,解密之后可以看到相关的路径和命令等。

1717413799652

4、菜刀

ⅰ. 请求包中 ua头为百度爬虫,火狐

ⅱ. 请求实体中存在eval,base64等特征字符

ⅲ. 请求实体中传递depayload为base64编码,并且存在固定的Base64编码

1717414747292


wireshark实战操作
http://example.com/2024/06/13/wireshark实战操作/
Author
w1t2f3
Posted on
June 13, 2024
Licensed under