wireshark
::: {.container}
::: {.post}
::: {.show-content}
wireshark是网络封包分析软件。
基础:理解OSI七层模型
参考:http://www.cnblogs.com/TankXiao/archive/2012/10/10/2711777.html\#who
这是我在暑假捕获邻居家wifi流量。当时看不懂,主要是不会用过滤器进行分析。下面我们结合题目进行过滤器的学习。\
::: {.image-package}
\
::: {.image-caption}
:::
:::
1,黑客最终获得什么用户名和密码?
这是在网站攻防里,要分析大量数据包,找到黑客暴力破解登陆网站后台的痕迹。
由于暴力破解必定要用工具爆破发送大量http请求,用post方法
原始样本里还有很多tcp和ftp请求。。先将http协议挑出来\
::: {.image-package}
\
::: {.image-caption}
:::
:::
。。http里包含登陆login字符的挑出来\
::: {.image-package}
\
::: {.image-caption}
:::
:::
。。用post提交用户名密码的数据包,挑出来
::: {.image-package}
\
::: {.image-caption}
:::
:::
。。将ip挑出来,就是大量发送登陆请求的那个
::: {.image-package}
\
::: {.image-caption}
:::
:::
这样我们就把,0.46个GB的pcap样本提取出了需要的部分。
根据第二列
时间,找到最后一组登陆的数据包,如上图所示,用户名为root,密码为123456。
为了验证是否正确,我们追踪一下数据流,发现前面爆破的数据包,显示重定向回登陆页面(就是下面靠近底部的redirect,看见没)。显然前面的都是登陆失败的。\
::: {.image-package}
\
::: {.image-caption}
:::
:::
下图,左边是登陆成功的数据包显示乱码,,也不知道为什么。右边是未成功登陆的页面\
::: {.image-package}
\
::: {.image-caption}
:::
:::
2,黑客修改了什么文件?菜刀连接地址?连接密码?
打开第二个pcap文件,用http和ip过滤。
下图所示,表明一直在访问index.php,一般来说就是首页。访问了menuid=4...5...6等等,在最下面发现了访问一个可疑的参数a=edit_file,file=index.html。猜测修改的文件为index.html\
::: {.image-package}
\
::: {.image-caption}
:::
:::
::: {.image-package}
\
::: {.image-caption}
:::
:::
一直没有发现什么踪迹,被包围在漫天遍野的数据包里,迷失了方向许久。。终于在第五个pcap文件里发现了痕迹。\
::: {.image-package}
\
::: {.image-caption}
:::
:::
所以菜刀连接地址为http://172.16.61.210/index.php(格式为目标IP加上传的php文件地址),连接密码为chopper\
::: {.image-package}
\
::: {.image-caption}
:::
:::
:::
:::
:::