流量分析初探

0x01

微信公共号发的关于流量分析的科普文章。既然写了,就发博客吧=。=!

0x02

准备工作

“工欲善其事,必先利其器” 流量分析中一般要用到的是wireshark这款功能强大的软件,可以实时的捕获各个网卡的流量,也能对捕获的数据包文件进行回放。

wireshark默认状态下会捕获大量的数据包,怎么从冗余的信息中找到需要的信息呢?

wireshark内置了强大的过滤器功能,一种是捕获过滤器,另一种是显示过滤器。合理使用过滤器,能节省很多时间。

捕获过滤器的一些知识可以看这里http://blog.csdn.net/qq_29277155/article/details/52077239

介绍一些显示过滤器中常用的语法:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
过滤IP,如来源IP或者目标IP等于某个IP
ip.src eq 192.168.100.107 or ip.dst eq 192.168.100.107
或者也可以这么写 ip.addr eq 192.168.100.107
过滤端口
tcp.port eq 80 显示源端口&目的端口为80的包
tcp.dstport == 80 // 只显tcp协议的目标端口80
udp.port eq 15000
过滤端口范围
tcp.port >= 1 and tcp.port <= 80
过滤某个协议
http
tcp
ftp
以此类推...
排除掉某个协议
!tcp 或者是 not tcp //过滤掉tcp协议
http模式过滤
例子:
http.request.method == "GET" get请求
http.request.method == "POST" post请求
还有比较常用的内容的过滤
tcp contains "flag"
.......

除了上边提到的,显示过滤器还支持正则表达式和一些复杂的语法,有兴趣的可以查阅相关资料~

除了趁手的工具,我们还需要一些网络方面的知识,对比较常见的协议要有一定的了解,知道每个协议是干什么用的,这个需要积累,在计算机《计算机网络》中也会学到。

当我们拿到一个流量包,我们该怎么做呢?

一般来说,先用wireshark打开,大体的浏览一下包,大概的看一下有哪些协议,有个大概的判断,对一些可能传输数据的协议敏感一些,比方说 http ftp 这类的协议,常见的套路的话,通过某些协议传输文件,我们可以从数据包里提取出一些附件,对附件进行处理,有的是分析整个数据传输的逻辑,从中获取有价值的东西。

拿平台上的”黑客的机密信息“ 这道题来分析一下吧

wireshark载入数据包,翻一翻,可以看到有http arp tcp等协议,过滤出http协议,在数据包的末尾可以看到shell.php,追踪TCP流,可以看到是经过base64编码的马,

mark
直接将flag进行base64编码, 利用 tcp contains "ZmxhZ" 就能得到flag。
mark

这是比较快捷简单的做法,现在我们来大致分析一下逻辑:

将包按时间戳排序,我们可以看到黑客先扫了一波目录,绝大部分包的返回的状态码是30x或者是404,除了重定向就是不存在该页面,
mark
可以看到扫到了login.php,
mark
并经过几次尝试,成功登陆,在此处,我们可以得到登陆的用户名跟密码。
mark
看样子字典不大给力啊,扫描的大部分结果都是不可用的==、
扫目录的时候都是get请求,然后返回状态码,我们可以看到突然出现了几个post请求,
mark
跟进去,追踪数据流,可以看到这么一段:
mark
熟悉的php开头标记,对post请求解码,
mark
黑客利用了PHP-CGI远程任意代码执行漏洞,利用php//input伪协议,
再往下走,就能看到shell.php,追踪数据流
mark
解码action,先urldecode,后 base64decode 可以看到执行的内容了

mark

同样的分析方式,可以看到黑客进入网站根目录,创建了secret目录,一直到最后一个包
mark
解码之后的action z1 z2 参数分别为:
mark
将flag写入s3cr3t.txt 分析结束。

遇到比较大的pcap文件时,wireshark打开可能会比较吃力,我们可以用科来网络分析系统来一次性载入多个包或者是比较大的包,科来比较容易上手,感兴趣的同学可以尝试一下~

0x03

感觉流量分析还是比较有意思的一类题目,通过蛛丝马迹理清整个逻辑,最后得到自己想要的信息,这也是取证的魅力所在吧~~

本文标题:流量分析初探

文章作者:tkcharlotte

发布时间:2017年11月17日 - 16:11

最后更新:2018年02月07日 - 18:02

原始链接:boombao.net/2017/11/17/流量分析/

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。

-------------本文结束感谢您的阅读-------------