宗旨:根据流量中的请求包代码特征来判断
一、xss流量分析(以dvwa靶场为例)
1、打开wireshark选择dvwa靶场所在的网络
2、在靶场中提交xss语句并执行成功
3、暂停抓包,开始对已有流量进行分析
4、先看协议分级,用的udp、tcp
5、看会话,有4个流即4次握手
6、点击右下角follow,开始追踪。
7、6图中,在请求中发现name=后边的值为xss语句。所以从图中可以知道,此次攻击为xss攻击,攻击地址为host值:192.168.41.138。
8、判断是否攻击成功的第一种方法:在下边的响应代码中找有没有攻击语句,如果有则说明攻击成功。
9、判断是否攻击成功的第二种方法:新建一个html文件,将响应代码复制进去,打开后有弹窗,说明执行成功。
二、命令和代码执行流量
通俗一点讲,代码执行是执行PHP代码。命令执行是执行linux系统下的命令。
常见代码执行函数:eval()
常见命令执行函数:system()
1、dvwa靶场命令执行
2、wireshark追踪流
3、由图得命令执行攻击
4、响应代码中发现执行成功
代码执行:
三、sql注入流量分析
1、wireshark抓到很多数据流,可以看出为sql注入,但具体语句不知,全为url编码
2、导出为csv
3、复制内容到notepad,利用插件进行url解码
4、根据解码内容可知为sql注入中的盲注
四、文件包含流量分析
五、文件上传流量分析
六、密码爆破流量分析
密码在不断变化
通过content length判断出爆破的密码
七、webshell通信流量
其实就是连接软件将代码进行了编码
