目录
实训Day-2-1流量分析实战
实训目的
了解Web入侵的一般步骤;掌握流量分析的基本方法;能进行拒绝服务攻击的流量分析;能进行Web入侵的溯源分析。
实训任务1 SYN半链接攻击流量分析
1.发现大量来自 192.168.177.155 的 TCP 连接请求,且均为 TCP 三次握手中的第一次 SYN 请求,当服务端进行进行第二次握手之后,客户端并没有响应。由此可以判断出,此时 192.168.177.155 这台主机正在对 192.168.177.145 这台主机进行端口扫描。而且扫描模式为 SYN 半连接扫描
2.基于 SYN 半连接扫描的特点,我们可以通过过滤器过滤出 192.168.177.145 回复了SYN/ACK 的数据包。以确定 192.168.177.145 开放了哪些端口ip.src==192.168.177.145 and tcp.flags.syn==1
经分析可知,192.168.177.145 这台机器一共回复了 15 个 SYN/ACK 数据包。所以可以判断出,这台机器一共开放了 15 个端口。
实训任务2 SQL注入攻击流量分析一
1.http 过滤出 http 协议相关的数据包,通过分析可以看出攻击者192.168.177.1通过布尔盲注对网站进行注入
2.盲注猜测数据库名长度的/sqli-labs/Less-5/?id=1'and%20if(length(database())=0,1,0)%20--+
盲注猜测数据库名首个字母
/sqli-labs/Less-5/?id=1'and%20if(ascii(substr(database(),1,1))=79,1,0)%20--+
3.最终我们可知黑客只获取了数据库名的长度和数据库名称
实训任务3 SQL注入攻击流量分析二
1.同任务2先筛选http数据包,我们可以发现这是一个时间盲注的sql注入
2.但是数据包中存在一些干扰项,在次将数据包进行过滤
http and (ip.src==192.168.177.1 or ip.dst==192.168.177.1)
3.可以看出数据库名长8位,再通过下面的注入可以得出数据库名。
实训任务4 Web入侵溯源一
1.筛选http数据包,发现前面的是正常的,在345开始出现大量head请求和404响应,由此我们可以判断出,192.168.177.1 这个 IP 在对网站进行目录爆破
2.目录爆破完成后,黑客开始发送大量的 POST 请求,POST 请求地址都为 admim/login.php 猜测黑客已经通过目录扫描找到了后台登录的路径。
3.对两个post进行http追踪,发现在爆破pwd
4.在此时破解完密码
5.在tpl_manage 页面有一个 POST 请求,追踪该请求的 http 流,观察提交的内容和响应的内容。请求体中的内容经过了 URL 编码对其进行URL解码得到上传的一句话木马
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
