wireshark实战操作
使用wireshark分析不同攻击流量
1、暴力破解
短时间内产生大量流量,且只有某个或多个参数在变化
用bp做的爆破测试,不到一分钟的时间…
2、冰蝎
流量通常是加密的,存在明显的冰蝎特征
如Accept::*/*;q=0.01
Connection:keep-alive
(冰蝎默认长链接)
建立连接后的cookie存在特征字符。所有请求 Cookie的格式都为: Cookie: PHPSESSID=; path=/;
请求头中可能包含Pragma: no-cache
,Cache-Control: no-cache
3、蚁剑
每个请求实体都存在
@ini_set(“display_errors”, “0”);@set_time_limit(0)
开头。并且后面存在base64等字符使用 随机数+响应内容+随机数使用base64加密的payload,数据包存在以下base加密的eval命令,数据包中的payload几个分段内容都是用了base加密,解密之后可以看到相关的路径和命令等。
4、菜刀
ⅰ. 请求包中 ua头为百度爬虫,火狐
ⅱ. 请求实体中存在eval,base64等特征字符
ⅲ. 请求实体中传递depayload为base64编码,并且存在固定的Base64编码
wireshark实战操作
http://example.com/2024/06/13/wireshark实战操作/