江苏龙网

  1. 首页 > 人文 > >

忘川彼岸|wireshark使用及实列分析( 二 )


忘川彼岸|wireshark使用及实列分析2.5 逻辑运算符 and/or/not
http.request.method=="POST" and ip.src=http://kandian.youth.cn/index/=192.168.71.249
只显示192.168.71.249发送的post数据 。
忘川彼岸|wireshark使用及实列分析2.6 固定特征检索
忘川彼岸|wireshark使用及实列分析选中要cookie(可以选择为恶意的payload)右击 , 作为过滤器应用-->选中
则只会显示cookie为选择值的数据包 。
忘川彼岸|wireshark使用及实列分析No.3
实列
3.1 Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628)
docker搭建cve-2018-2628靶机 , wireshar保存数据包分析 。
docker地址:# /environments/weblogic/CVE-2018-2628/
3.1.1查看恶意ip和受害ip的数据通信
ip.src=http://kandian.youth.cn/index/=192.168.80.1 and ip.dst==192.168.80.4
忘川彼岸|wireshark使用及实列分析3.1.2 依次查看数据包
发现192.168.80.1想192.168.80.4发送了很多个2798长度的数据包 , 将数据包内容复制出来查看
忘川彼岸|wireshark使用及实列分析鼠标右键点击数据包内容 , 选择 as printable text即可将数据包内容复制到剪切板 , 将数据包复制到文本编辑器查看
忘川彼岸|wireshark使用及实列分析ysoserial.jar , touch /tmp/h11ba1.txt 可以大致确定攻击者使用了ysoserial工具进行了反序列化攻击 , 准备在服务器执行"touch /tmp/h11ba1.txt"命令 。
3.2 ms17-010
3.2.1 确定攻击是否发生
ip.addr==192.168.80.4 and ip.addr==192.168.80.8 and smb
忘川彼岸|wireshark使用及实列分析发现192.168.80.4这个ip向192.168.80.8发送了大量的A字节 。 推测在进行溢出操作 。 所以确定发送ms17_010攻击
3.2.2 确定是否成功
继续查看数据包 , 发现数据包中含有session setup and request数据包 , 并且数据包中含有被攻击机器的准确域信息 , 说明攻击成功 。
忘川彼岸|wireshark使用及实列分析3.2.3 确定攻击者执行了那些命令
ip.addr==192.168.80.4 and ip.addr==192.168.80.8 and tcp
分析192.168.80.4与192.168.80.8之间传输的所有tcp数据流
从上往下依次查看 , 发现 , 被标黑的数据包中含有cmd命令行 , 重点查看标黑的数据流 。 并且可以确定攻击者通过4444端口来接收受害者的shell 。
忘川彼岸|wireshark使用及实列分析依次往下面查看 , 发现受害者192.168.80.8向攻击者192.168.80.4发送了自己的盘符信息 。 此时可以确定攻击者拥有了受害者cmd控制权 。


推荐阅读


上一篇:ZAKER|中国服贸会扩大开放暨企业全球化论坛成功举办

下一篇:穿搭|女人不要穿“妈妈装”,跟她学穿搭,50岁也优雅动人