Wireshark

wireshark

wireshark

wireshark是网络封包分析软件。

基础:理解OSI七层模型

参考:http://www.cnblogs.com/TankXiao/archive/2012/10/10/2711777.html#who

这是我在暑假捕获邻居家wifi流量。当时看不懂,主要是不会用过滤器进行分析。下面我们结合题目进行过滤器的学习。




1,黑客最终获得什么用户名和密码?

这是在网站攻防里,要分析大量数据包,找到黑客暴力破解登陆网站后台的痕迹。

由于暴力破解必定要用工具爆破发送大量http请求,用post方法

原始样本里还有很多tcp和ftp请求。。先将http协议挑出来


。。http里包含登陆login字符的挑出来


。。用post提交用户名密码的数据包,挑出来


。。将ip挑出来,就是大量发送登陆请求的那个


这样我们就把,0.46个GB的pcap样本提取出了需要的部分。

根据第二列——时间,找到最后一组登陆的数据包,如上图所示,用户名为root,密码为123456。

为了验证是否正确,我们追踪一下数据流,发现前面爆破的数据包,显示重定向回登陆页面(就是下面靠近底部的redirect,看见没)。显然前面的都是登陆失败的。


下图,左边是登陆成功的数据包显示乱码,,也不知道为什么。右边是未成功登陆的页面




2,黑客修改了什么文件?菜刀连接地址?连接密码?

打开第二个pcap文件,用http和ip过滤。

下图所示,表明一直在访问index.php,一般来说就是首页。访问了menuid=4...5...6等等,在最下面发现了访问一个可疑的参数a=edit_file,file=index.html。猜测修改的文件为index.html





一直没有发现什么踪迹,被包围在漫天遍野的数据包里,迷失了方向许久。。终于在第五个pcap文件里发现了痕迹。


所以菜刀连接地址为http://172.16.61.210/index.php(格式为目标IP加上传的php文件地址),连接密码为chopper