Wireshark 分析常见 Web 攻击的流量特征

原创

已于 2023-12-08 20:44:15 修改 · 9.9k 阅读

102 ·

CC 4.0 BY-SA版权

文章标签：

#wireshark #前端 #测试工具 #网络安全 #web安全 #笔记

于 2023-12-08 18:18:56 首次发布

本文介绍多种网络攻击类型及利用 Wireshark 分析其流量特征的方法。涵盖 SQL 注入、XSS、文件上传等攻击，阐述攻击原理，以多个靶场示例展示如何通过关键字、文件后缀、请求路径等判断攻击流量，还提及 Shiro 反序列化、JWT 攻击等特殊情况。

SQL 注入

攻击者在输入字段中插入恶意的 SQL 语句，实现对数据库的增删改查。

可以在 http 请求中通过查找 SQL 注入语句中的 union、select、sleep 等关键字来判断 SQL 注入的流量

dvwa SQL Injection low 为例

poc

1' and 1=2 union select 1,database() #

筛选目的 ip 为靶场服务器并且为 http 的流量

ip.dst==10.9.47.172 && http

找到 SQL 请求的 http 报文

可以看到 union 、 select 、 database 等 SQL 注入的关键字

id=1%27+and+1%3D2+union+select+1%2Cdatabase%28%29+%23

解码后即可看到原始 poc

XSS

XSS 跨站脚本攻击,是通过注入 JavaScript脚本来实现恶意弹窗、盗取 Cookie、传播蠕虫病毒等效果

XSS 使用 JavaScript 语句，可以同通过 JavaScript 中的 <script> 标签来判断 XSS 的流量

dvwa XSS（Reflected） low 为例

poc

<script>alert(/gjl/)</script>

wireshark 捕获流量

筛选目的 ip 为靶场服务器并且为 http 的流量

ip.dst==10.9.47.172 && http

其中有 <script> 标签关键字，< 等特殊符号被 url 编码

name=%3Cscript%3Ealert%28%2Fgjl%2F%29%3C%2Fscript%3E

文件上传

文件上传主要靠上传文件木马获取 webshell。如 PHP 中通常上传 .php 文件后缀一句话木马

判断其流量特征时，可以观察文件名中有没有 php 后缀字样，也可以看文件内容中有没有类似 eval 的关键字、危险函数等

dvwa File Upload low 为例

上传文件内容为 <?php @eval($_REQUEST[777]);?> 的 1.php 一句话木马文件

捕获流量，并筛选

可以根据文件名中的 php、文件内容中的危险函数来判断非法的文件上传

如果上传的图片马无法通过后缀查看，可以查看文件内容来判断是否为恶意的文件上传

文件包含

被包含的文件的路径设置为变量，来进行动态调用（包含），但正是由于这种灵活性，如果被包含文件的路径客户端可控，造成任意文件包含漏洞。攻击者可以上传恶意的路径来实现访问解析服务器的其他文件，或者远程访问执行。

一般包含配合一句话木马文件获取 Webshell，文件包含的流量特征是请求包中有非服务器允许访问的文件路径，或者文件路径中出现 data://、ftp:// 等协议或者目录穿越的关键字 ../../ 等

dvwa File Inclusion low 为例

poc

http://10.9.47.172/dvwa/vulnerabilities/fi/?page=../../phpinfo.php

wireshark 捕获流量

服务器正常只允许访问 file1.php、file2.php、file3.php 而报文中请求的其他的文件路径

文件读取

任意文件读取漏洞由于对用户查看或下载的文件没有限制或者限制绕过，就可以查看或下载任意文件

与文件包含的区别是文件读取无法解析执行文件，只能读取文件的内容

跟文件包含的流量特征类似，请求访问的文件地址中出现 C://、../../ 等关键字或者其他非服务器允许访问的文件路径

SSRF

SSRF 是一种由攻击者发起的伪造请求（一般是绝对路径），由服务器发送请求的一种攻击。

判断 SSRF 的流量特征时，可以通过协议、请求的资源地址来判断是否为攻击。

攻击者可以使用 file 协议访问文件资源，http://127.0.0.1:3306 探测本地端口，也可以使用 SSRF 来访问内网 ip 进行过攻击