上篇文章为大家介绍了如何拦截浏览器中的https流量以及http流量简单的分析方法,今天在这里为大家分享一下web攻击的具体流量特征以及一些其他协议的特征
DHCP的主机信息
网络中产生流量的任何主机都应该包含三个特征:MAC地址、IP地址和主机名。在大多数情况下,可疑行为的警报是基于IP地址的,如果你能获取到完整的网络流量,检索其中的内部IP地址,应该能显示出相关的MAC地址和主机名。
那么我们如何使用Wireshark找出这样主机信息呢?我们可以过滤DHCP流量,DHCP流量和可以帮助我们识别连接到你网络中的几乎所有类型的主机
使用显示过滤器 dhcp 即可过滤出数据包中的DHCP流量(老版本的Wireshark对应的表达式为( bootp ),如下图所示:
在Info(详情)中显示为DHCP Request的数据包中选择一个,查看数据包详情,并展开 Dynamic Host Configuration Protocol (Request) ,如下图所示:
继续展开 Client Indentifier 和 Host Name ,可以看到被分配到 192.168.43.213 的主机对应的MAC地址以及主机名,如下图:
NBNS 中的主机信息
由于DHCP租约更新频率的影响,捕获的流量中很可能没有DHCP流量,但是幸运的是我们可以使用NBNS流量来识别主机名称。
使用Wireshark打开,并设置显示过滤器 nbns ,这将展示捕获数据中的NBNS流量,选择第一个数据包,很容易发现IP地址、MAC地址和主机名的关系。
展开NetBIOS Name Service查看详情
UDP Flooding攻击小案例
UDP与TCP一样位于传输层, UDP协议却不需要建立连接就可以传输数据(不可靠的协议,只在乎传输结果而忽略传输质量,会丢数据),而且少了很多的控制机制,因而传输速度高于TCP协议,所以也得到了广泛的使用。不过, UDP协议也面临着一个和TCP协议一样的威胁,那就是泛洪攻击(SYN Flood)。不过不同于TCP协议占用服务器连接数的方式, UDP协议因为不需要建立连接,所以攻击者将目标转向了带宽,他们构造大量体积巨大的UDP数据包并发往目标,从而导致目标网络的瘫痪。由于依赖UDP的应用层协议五花八门,差异极大,因此针对UDP Flooding的防护非常困难。
使用kali自带的功能模拟本次攻击
g3 -q -n -a 117.0.0.1 --udp -s 111 -p 112 --flood 192.168.43.157 -d 1000
源地址为117.0.0.1,源端口111,目的端口112 192.168.43.157 为受害机
返回Wireshark ,进行 DHCP 捕捉
随意点一个进去,就可以看到接受到了大量的垃圾数据,wireshark险些卡死
IPS报文分析案例
sql注入小案例1-http
某网站存在sql注入,进行单引号探测,结果如下
使用捕获器,捕获http流量,如下图所示
成功找到我们刚刚输入的网页信息,在得知源地址、目标地址之后,排除其他不需要的信息,在捕获器中输入
ip.src eq 192.168.43.157 and ip.dst eq 202.??.??.86 and http
ip.src : 源地址,即你自己的地址
ip.dst : 目标地址,即访问地址
在文章第二篇里面有详细的介绍,传送门->>
本次教程只有演示,希望大家不要去恶意攻击他人的网站,大家可以使用上篇教程进行一一分析,但是其实不需要展开就已经能看到访问源地址,目标地址,源MAC地址,目标MAC地址以及构造的请求了。在实际应用中单单取证的话其实已经差不多了(此处目标地址端口列我给配错了,大家凑合看一下,领悟会议精神即可)
或者直接使用追中数据流的方式进行查看
sql注入小案例2-tcp
此次注入小案例为ips防护设备截取到的,由于我这里只有一个数据包所以我也不清楚这个是CS架构还是BS架构拦截到的东西
使用tcp追踪数据流进行信息查看
可以看到,里面其实就是做了一个提前闭合而后执行了一个删除tb_AD_user表的一个操作
XSS跨站脚本攻击小案例
此次带来的是一个跨站脚本攻击小案例,首先流量包是这个样子的
进行过滤器捕捉http流量
其实除了流量特征不太一样,分析方式大同小异,这里就以追踪数据流的方式进行演示
往下找,找到了成功闭合的位置对应的值,不出意外的话这个反射型跨站脚本是可以成功触发的
S2攻击小案例
选择追踪TCP数据流
poc看不懂的话,把他放进burpsuite进行编码转换,转换结果如下
分段放一下
这段poc大致的含义就是,写入一个名字叫做TMSRPoC 的文档,而后判断,如果是windows主机就打开cmd命令行在C盘写进文件;如果是Linux系统则以bash写入文件
最后需要到根目录下查看文件是否被成功写入从而验证漏洞存在与否。
关键代码:
(#cmd='touch TMSRPoC') 写文件
(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'bash','-c',#cmd})) 判断系统类别
http后台暴力破解小案例
首先打开流量包是这个样子的
使用过滤器捕获http流量
不难发现,所有的请求地址都是一致的,通过观察数据包发现password字段一直在变化,说明这就是暴力破解攻击迹象
蚁剑webshell小案例
首先使用蚁剑进行webshell链接,而后获取的数据包是这样的(antSword/v2.1)
由于这个数据包就这么点内容,所以不用再进行过滤,只需要追踪数据流就可以,点击任意数据追踪数据流
通过user-agent可以看出流量特征是蚁剑,蚁剑这款工具与冰蝎、中国菜刀并称三大主流webshell管理工具,其都有其各有的流量特征,这里不做具体的赘述
通过解密之后能看到,其实就是打开资源句柄做了一个读取/var/www/html/flag.txt的一个动作。
东西太多了,写不下了,下次继续与大家分享吧