LainWith的博客

如何分析流量包中有没有某些内容呢？尤其是当一个数据包比较大，内容比较杂的时候。这里介绍几种方法。

uniscan是一个外表低调内心狂放的WEB扫描器，其功能却远不仅限于WEB一域。除了常规WEB扫描器该有的所有功能全部具备之外，uniscan还提供了很多信息收集的功能，例如网络层路径追踪、端口发现、指纹探测、漏洞扫描等主动信息收集功能，以及DNS域名解析、搜索引擎信息收集等被动信息收集能力。甚至它还可以作为压力测试工具用来评估服务器的性能极限。uniscan-gui是它的图形化界面版本，功能与命令行界面的uniscan完全一致。个人真实体验：不咋地。项目地址：https://github.com/poe

jSQL injection是一款由JAVA开法的SQL自动化注入工具，它提供了数据库查询、后台爆破、文件读取、Web shell、SQL Shell、文件上传、暴力枚举、编码、批量注入测试等强大的功能，是一款非常不错的工具，也是渗透测试人员的强大助手。它支持GET\POST注入，同时也可以进行HTTP头注入（这个需要用户自动构建），它是免费的，开源的，跨平台的Windows，Linux和Mac，它适用于版本11到17的Java工具的安装与应用范围，参见github地址：https://github.com

WebCrack是一款web后台弱口令/万能密码批量检测工具，在工具中导入后台地址即可进行自动化检测。项目地址：https://github.com/yzddmr6/WebCrack就拿dvwa的登录页面来测试一下明明都爆破出dvwa的默认密码了，最后结果却显示失败，只能说作者对于爆破成功的判断标准很有待提升。关于弱口令的检测问题，并不是WebCrack的作者能力不足，而是这个东西确实不好做， Tide安全团队曾经也做过相关工具，评价是：相关文章参见：Web弱口令通用检测方法探究但是吧，这个问题也不

目录前言实现逻辑代码设计效果演示一些建议前言开发这个工具主要还是工作中碰到了一些问题。问题描述：收到一些数据包，拿过来在IPS设备上测试出现了一些告警。如何判断测试的这些数据包中，有哪些数据包告警了，又有哪些数据包存在误报？实现逻辑分析：公司的IPS设备有日志功能，也有取证功能。那么可以利用取证功能来解决问题。（下文中：取证包，告警的数据包是同一个意思；tid号是规则的编号）工具原理：首先读取一个取证包，然后去遍历测试的所有数据包：如果某个测试的数据包的内容，包含了取证包的内容，就认为测

目录简介参数tshark与wireshark对比基本命令获取数据包摘要信息显示时间格式捕获过滤器捕获并保存数据包显示过滤器区分显示过滤器和读取过滤器一些好用的显示过滤器-e参数的应用HTTP中的应用案例mysql中的应用案例-z参数的应用专家信息：**-z expert**追踪流：**-z follow**-z http统计数据包信息统计会话统计出所有IP显示每个协议树的具体信息导出对象追踪流追踪tcp流/http流追踪流数量读取TCP流-纯16进制读取TCP流-16进制读取TCP流-ascii获取TCP流

目录内容完全一致案例1案例2案例3格式相似邮件传输内容完全不同ip.option乱码压缩包SMBDHCP混淆如果有人跟你说bps可以一对一告警，你一定不要当真！内容完全一致漏洞不同没关系，但是数据包可以相同啊，对喽，不能误报啊！案例1漏洞描述（tid：63252）Cyrus IMAP Server是一款免费开放源代码Interactive Mail Access Protocol (IMAP)协议实现，可使用在Unix和Linux操作系统下。当imapmagicplus选项打开的时候，Cy

目录CVE-2001-1032 PHP-Nuke文件泄漏和上传漏洞CVE-2006-2926 Qbik WinGate HTTP请求 缓冲区溢出漏洞CVE-2018-1270 Pivotal Software Spring Framework 代码注入漏洞CVE-2018-3903 Samsung SmartThings Hub video-core HTTP服务器缓冲区错误漏洞HTTP Generic SQL注入探测攻击这里整理了以前技术支撑中发现的一些问题，愿大家在规则开发中，避开这些误区。提供的原

目录规则问题1：研判2：http请求与响应3：http头与http正文4：关键字flowtcp.optiondsizehttp.host_lenhttp_headeroffset/dsize5：协议加密协议ftp协议telnet协议6：明文匹配7：深度8：数据包回环地址规则问题1：研判请确认规则是否勾选了研判，以及虚拟机在跑规则的时候，是否开启了研判显示（尝试）（成功）ips rule_judge config judge_rule_alert switch on 只显示（尝试）ips ru

目录前言HydraWPScanWordpresscanWebRootSharinGanRsasSkipfishBruteXSSXSStestnmapW3afzgrabhttrackiFinDsqlmapwhatwebniktoDirBusterIndy Library前言在入侵检测中，有一类防御类型是针对黑客攻工具的，不少工具只有“User-Agent”是其唯一可识别项，因此整理了一些可以基于“User-Agent”作为识别特征的工具。规则的开发很简单，这里暂且举两个例子，一个是纯content的，一

目录介绍ping测试流量分析规则TCP型流量分析规则介绍BurpSuite里面有一个类似DNSlog的功能。它生成的域名中存在.burpcollaborator.net，可以利用此特征防御BurpSuite带外通道攻击。这种攻击方式还是蛮流行的，一周就能收到近10W条告警。ping测试普通ping2. 获取测试结果流量分析查看icmp协议的内容，data部分没啥可看的2. 查看dns协议的内容，及追踪流看到了访问的地址规则规则检测.burpcollaborator.

目录需求分析源代码效果展示需求分析周末，接到通知，要为某单位临时添加一批规则，规则开发完毕之后，填写到规则库平台的时候，需要填写漏洞编号，中英文漏洞标题，中英文漏洞描述，参考链接。由于所在部门不能直接连接互联网，因此，如果通过云桌面的形式间接添加漏洞规则相关信息，会很麻烦。期望：我只提供给你漏洞编号，你能反馈给我：漏洞编号，中英文漏洞标题，中英文漏洞描述，参考链接源代码脚本会根据你的漏洞编号去安全客上搜索相关漏洞信息（安全客镜像了国家漏洞信息库的漏洞信息），然后借助有道翻译给出中英文信息。脚本直接

目录前言1. 空格字符绕过2. 大小写绕过3. 浮点数绕过绕过IDP角度分析4. NULL值绕过绕过IDP角度分析5. 引号绕过6. HEX绕过7. 添加库名绕过8. 去重复绕过⭐绕过IDP角度分析9. 反引号绕过10. 脚本语言特性绕过绕过IDP角度分析11. substr 截取字符串⭐绕过IDP角度分析12. mid 截取字符串⭐12. 使用join绕过13. like绕过⭐14. limit offset 绕过15. or and xor not 绕过⭐16. ascii 字符绕过⭐17. 等号绕过⭐

目录需求分析代码截图举例一周的时间，走了一半，看着机房上的告警日志多了起来，心里起了疙瘩，再看看涉及到的规则数量，马上要突破300了，疙瘩变成了结石。怎么办呢？那就提前做日志分析，然后把分析的结果，转移到最后的分析报告上。需求分析日志分析提前做，意味着与最终结果相比：可能规则触发数量有差别告警信息触发的规则条数有差别而这两点，都是可以忽略的，反正报告已经可以使用python实现——40W告警日志分析(上)中的脚本自动化完成了，我现在只需要把提前分析的结果转移到最终的分析报告中即可。这个事情，

目录前言实现逻辑局限脚本GIF演示前言最近碰到一个问题，设备出现40W+的告警信息，涉及300多条规则，如何才能给出一个分析报告呢？或者说我如何把规则匹配到的数据包里的东西展示给对方呢？于是，我开发了这样一个仿Snort的工具。实现逻辑它可以直接读取snort的规则，然后跟数据包进行匹配。snort规则中最常用到的两个关键字是pcre和content，而content是无需和数据包匹配的，所以只需把提取出的pcre中的内容与数据包中的内容进行比对即可。脚本会运行两轮，第一轮是直接读取出conte

目录前言获取攻击统计排名获取“判断依据”前言上周接到一个活，说是分析一下机房新设备的告警日志，我没当回事，直到周五的时候看到40W+的告警日志之后，我炸了。老设备平常一周也不过上万条，涉及规则20来个，一天就分析完了，新设备上来就是40W+的告警次数，涉及规则300+，最最痛苦的还是，虽然我能看到告警事件排名，虽然设备还不支持导出排名信息，虽然我还能接受手工复制每页的排名信息，但是，300+的规则好几页，设备无法完成翻页操作，卡出翔了！！！唯一的突破口，就是直接处理40W+的日志，python在手，冲

目录前言PeiQI WiKi文库⭐⭐⭐TALOS⭐⭐⭐⭐国家信息安全漏洞库⭐⭐⭐⭐⭐白阁文库seebugCERTexploit-dbpwnwiki漏洞复现博客针对工具其他前言IPS，一种防御网络攻击的设备，除了防御常见的web攻击、黑客工具攻击……更重要的是能够针对当下爆出的新漏洞进行防御。那么，当你面对一个日渐完善的规则库，如何继续开发新的规则呢？下面介绍一下我找漏洞的一些思路。PeiQI WiKi文库⭐⭐⭐我最喜欢的漏洞文库，简明扼要的记录的漏洞的利用方式，告诉你fofa要搜索的内容、漏洞点、P

目录什么是IPC复现抓包小写ipc特征大写IPC特征响应特征综合规则：规则不是非常严谨，没有经过实战检验，检测方式仅供参考什么是IPCIPC，又称ipc$，是windows系统中默认开启的一个共享空连接，用来让远程用户连接测试连接时的账号密码是否正确在终端中输入net use \\目标IP\ipc$ 密码 /user:用户即可尝试连接目标ipc$的利用条件：管理员开启了默认共享知道受害者的IP和登录密码开启了139、445端口常用命令：工作组：net use \\目标IP\ipc

这里写目录标题介绍使用环境生成webshell上传webshell连接webshell命令执行编写规则4.0.1版本1.1版本规则参考介绍Weevely工具Python语言编写，集生成木马与加连接于一身，相当于Linux中的中国菜刀，但只适用于php网站,已经加入Kali豪华大礼包中。在Kali1.0中集成的低版本V1.1更是功能强大，支持图片与.htaccess两种绕过方式。新版本中将这两种功能阉割掉了，但是生成的木马文件仍然进行了加密处理。​在实操过程中发现，使用weevely生成的webshe

目录制造请求包制造请求-响应包制造请求-响应【通用型】修改httpd.conf成品展示一点优化参考制造请求包如果只是制造请求包，那么使用BurpSuite截包时，改一下内容，随便对着谁发一下就行了制造请求-响应包使用phpstudy搭建一个web环境，然后自定义要访问的文件路径，写一个html或者php文本啥的，然后通过web访问一下，可以拿到响应码200的包​优点：制造的更真实（响应码正确）缺点：每次都需要人工编写web页面效果：制造请求-响应【通用型】开启404跳转，不管访问的结果

目录环境介绍工具简介数据包1：(-p参数)端口扫描2：(-i参数)whois查询ip3：(-w参数)whois查询域名规则汇总环境介绍NAT模式：kali攻击方win7受害者工具简介DMitry(Deepmagic Information Gathering Tools 深度信息收集工具)是一个linux下用C语言写的工具。它能够尽可能的获取指定主机目标的信息。基础功能是获取目标的子域名，Email地址，运行时间相关信息，tcp端口，whois信息等等。用法：dmitry [-winsep

目录环境介绍工具简介数据包规则环境介绍NAT模式：kali攻击方win7受害者Metasploitable受害者工具简介一个在本地或远程TCP/IP网络上扫描开放的NETBIOS名称服务器的命令行工具。它基于Windows系统的nbtstat工具的功能实现，但它可在许多地址上运行，而不是仅一个地址。用法：用法: nbtscan-unixwiz [选项] 目标 [目标...] 目标可以是IP地址，DNS名称或地址的列表范围。 范围可以表示成“192.168.12.0/24”

目录环境介绍工具简介数据包nmap的SYN扫描nc的TCP扫描masscan的扫描对比masscan、nc、nmap的SYN扫描规则环境介绍NAT模式：kali攻击方win7受害者Metasploitable受害者工具简介masscan号称是目前是最快的互联网端口扫描器，最快可以在六分钟内扫遍互联网。 masscan的扫描结果类似于nmap，在内部，它更像scanrand, unicornscan, and ZMap，采用了异步传输的方式。它和这些扫描器最主要的区别是，它比这些扫描器更快。

目录环境介绍参数数据包TCP扫描UDP扫描环境介绍NAT模式：kali攻击方win7受害者Metasploitable受害者参数关于nc端口扫描的进一步了解参见我之前的文章：图文介绍——NC使用笔记nc只有简单的两种扫描方式，如下：-z参数就是端口探测，默认使用TCP连接。nc的端口扫描是从大到小，一旦能建立起三次握手，就发送FIN+ACK断开连接，然后扫描下一个端口。nc -nvz 192.168.56.104 1-3000 #扫描win7的1-3000端口nc -nvz 19

目录环境介绍参数数据包参照组数据包（使用ping命令）windows下使用cmd发出的ping包kali在终端中发出的ping包fping发出的数据包单个主机扫描（无回应）单个主机扫描（有回应）网段扫描规则环境介绍NAT模式：kali攻击方win7受害者Metasploitable受害者参数1：基于icmp的单个主机发现fping 192.168.56.1022：基于icmp的网段扫描-a参数显示存活的主机-g通过指定开始和结束地址来生成目标列表,可以使网段fping -a -

目录环境介绍扫描类参数：数据包双向规则环境介绍NAT模式：kali攻击方win7受害者Metasploitable受害者扫描类参数：工具用法参考：Kali Linux信息收集之enum4linux这里选用以下参数，并抓包enum4linux -a ip #做所有简单枚举（-U -S -G -P -r -o -n -i），如果您没有提供任何其他选项，则启用此选项enum4linux -l ip #通过LDAP 389 / TCP获取一些（有限的）信息（仅适用于DN）enum4li

目录简介筛选文件脚本批量跑snort脚本批量删除文件脚本固网脚本简介Breaking Point System(BPS)，一个用于根据攻击名称生成响应数据包的设备。日常编写入侵防御（IPS）规则的时候，就是根据BPS设备产生的数据包来写规则，首先使用snort做测试，最后把写好的全部规则升到公司设备上，再做一遍测试。这中间有很多繁杂的操作，这里介绍如何编写脚本来实现工作减负。筛选文件首先，我们拿到的是这样的一张Excel表，这里面包含了所有负责人的任务，以及，我们会拿到成百上千个数据包，里面包含了所

前言ping扫描UDP扫描SYN扫描前言这里介绍一下如何让入侵检测系统识别nmap扫描，nmap的扫描行为很多，这里介绍几个ping扫描命令：nmap -sn 10.71.35.0/24根据数据包内容，你会发现一些共同点，我用红框标注了出来itype:8icode:0icmp_seq:0由于是icmp协议，所以设置协议类型为icmp，所以负载为0。你可以看到这是一个在短时间内发起大量扫描的行为，所以我还可以限制连接频率注意：频率的控制很重要，不然极有可能无法检测到，我这里出于实.

环境准备配置环境变量启动snort配置规则排雷小试牛刀编写规则捕获并过滤出命令注入的数据包分析数据包查看结果环境准备在虚拟机win7下安装snort准备软件：疯狂下一步，没什么好说的snort： https://www.snort.org/downloadsnpcap：https://nmap.org/npcap/完事后，你可以在C盘下看到snort配置环境变量这一步的主要作用是为了避免非得跑到snort的bin目录下才能运行snort，配置了环境变量你可以在任意位置运行snor.

TCP协议在snort的专栏里面，以DVWA之反射型XSS攻击为例问题描述反射型XSS使用的是HTTP协议，经GET方法发起攻击，然而我的snort规则所用的协议却是TCP，它是怎么去检测HTTP的？附上规则内容：alert tcp any any -> any any (msg:"DVWA-XSS_r漏洞攻击"; flow:to_server,established; uricontent:"DVWA-master/vulnerabilities/xss_r"; fast_pattern:

DVWA全级别-双向规则编写