标签:数据分析 ftp 01 http telnet FLAG 172.16 数据包
数据分析
-01
http.request.method ==POST
筛选出采用http协议的post方式的数据包,发现请求都是172.16.1.110,发送到172.16.1.18
黑客IP是172.16.1.110
或者使⽤过滤规则 tcp.connection.syn 过滤出所有带有SYN标志位的数据包,发现IP为172.16.1.110 的易受攻击端⼝短时间内发送了⼤量的建⽴连接请求,因此判定 172.16.1.110 为攻击机 172.16.1.18为服务器
FLAG: 172.16.1.110
ip.src == 172.16.1.110 and ip.dst == 172.16.1.18 and tcp.connection.syn
TCP连接的SYN标志被设置。SYN标志表示一个TCP连接请求,用于建立一个新的连接
FLAG: 21/22/23/80/3306
统计->协议分级 发现数据包中有vnc、telnet、ssh、mysql、http、ftp-data、ftp、igmp、arp
其中telnet和ssh都是远程终端协议,telnet是明⽂传输⽽ssh是加密传输,ftp是命令控制协议,ftp-data是真正文件传输走的协议,因此只要看到存在ftp-data协议,就证明从ftp服务器传输了数据
vnc协议是磐云平台上连接虚拟机⾛的协议,这个可以忽略
综上所述,能查看服务器主机名的协议有:
telnet
ssh (加密的,可以适当性忽略)
http(如果存在命令执⾏漏洞,就有可能查看主机名)
其实telnet协议在不登录服务器的情况下,就会显示其主机名。主机名 login 主机名可能会变,但是login始终固定,因此我们可以构造如下过滤规则,筛选出所有内容包含login的telnet数据包
telnet contains "login"
或点击筛选出来的telnet数据包右键追踪流 -> TCP流
FLAG: SecTestLabs
数据包中有vnc、telnet、ssh、mysql、http、ftp-data、ftp、IGMP、arp
设计密码认证有telnet、mysql、ftp、ssh (加密的,可以适当性忽略)
如上图查看telnet登录都是显示登录错误
mysql.command
使用过滤规则过滤出mysql执行命令
可以看出mysql是登录成功了
追踪流->tcp流
FLAG: 5.7.26
顺便看下是不是暴力破解,数据库登录错误会显示:ERROR 1045 (28000): Access denied for user '用户名'@'主机名' (using password: YES)
使用mysql.error_code==1045 过滤规则查看到就是暴力破解
查看最后几个数据直接看到一句话木马
FLAG: horse
FLAG:lqsym
知道木马名称horse.php,利用木马肯定会进行post请求,一种方法是过滤http包含horse.php数据包,另一种是查看所有post请求数据,前者方便些
http contains "horse.php"
查看tcp流,需要解码,显示查看etc目录,再看下一个数据流
FLAG: passwd
找到了异常⽤户并且使⽤该⽤户名对某个服务进⾏密码爆破枚举,那么该异常⽤户肯定是 通过读取/etc/passwd⽂件所看到的,通过查看该⽂件我们发现,只有⽤户suictsr247可以登录到系统,并且是⾮系统⽤户,其还在root组 ⾥⾯
由于诸多协议都是基于tcp的,因此我们使⽤ tcp contains "suictsr247"
我们看到大部分都是FTP服务,剩下俩是http,
FTP登录成功显示的状态码是230,使用过滤规则
ftp.response.code==230
看到第一个数据流没有做任何操作,RETR是FTP中的命令RETR flag.jpg 意思是下载名为flag.jpg文件,接下我们要做的事情就是,将该⽂件导出,前⾯说过,ftp在进⾏⽂件传输的时候,⾛的是ftp-data协议,因此我们直接过滤该协议即可,由于⽂件传输⾛的是切⽚传输,会将⼀个⽂件分为多次发送,最终进⾏合并,意思有很多flag.jpg,只需要选择任意⼀个追踪流即可
FLAG: harmony
标签:数据分析,
ftp,
01,
http,
telnet,
FLAG,
172.16,
数据包
From: https://www.cnblogs.com/yang-ace/p/17971111