您的位置:首页 > 游戏 > 手游 > 流量分析-Windows

流量分析-Windows

2024/12/23 7:31:48 来源:https://blog.csdn.net/m0_53008479/article/details/141307224  浏览:    关键词:流量分析-Windows

目录

    • 介绍
    • 步骤

介绍

1、Medusa工具是通过并行登陆暴力破解的方法,尝试获取远程验证服务访问权限,它支持AFP, CVS, FTP, HTTP, IMAP, MS-SQL, MySQL, NCP (NetWare),NNTP, PcAnywhere, POP3, PostgreSQL, rexec, rlogin, rsh, SMB, SMTP(AUTH/VRFY), SNMP, SSHv2, SVN, Telnet,VmAuthd, VNC,是一个不择不扣的密码破解工具

2、通过 Wappalyzer

网站分析:了解网站是用什么构建的,使用到的技术有哪些;
潜在客户开发:寻找潜在客户;
市场研究:比较市场份额和技术趋势;
竞争对手研究:了解谁在使用竞争对手的软件;
数据富集:查看网站技术、公司信息和联系方式;
自定义报告:创建自定义网站列表数据;
网站监控:监测网站技术的变化;
浏览器扩展:直接在访问的当前网站上查看所使用的技术;
电子邮件验证:验证电子邮件有效性,改善 EDM 策略效果及提高邮件列表质量;
API访问:自动化技术查找,即时技术查询和网站实时抓取分析,快速查看结果;
安全侦察:揭示 Web 技术和版本号。

3、Hydra 是一个并行的登录破解器,它支持多种攻击协议。 它非常快速和灵活,并且新模块很容易添加。

该工具使研究人员可以展示远程未经授权访问系统。

它支持:Cisco AAA、Cisco auth、Cisco enable、CVS、FTP、HTTP(S)-FORM-GET、HTTP(S)-FORM-POST、HTTP(S)-GET、HTTP(S)-HEAD、HTTP- 代理、ICQ、IMAP、IRC、LDAP、MS-SQL、MySQL、NNTP、Oracle 侦听器、Oracle SID、PC-Anywhere、PC-NFS、POP3、PostgreSQL、RDP、Rexec、Rlogin、Rsh、SIP、SMB(NT) 、SMTP、SMTP 枚举、SNMP v1+v2+v3、SOCKS5、SSH(v1 和 v2)、SSHKEY、Subversion、Teamspeak (TS2)、Telnet、VMware-Auth、VNC 和 XMPP。

4、Godzilla 是一个自动扫描工具,用于漏洞猎人/渗透测试者,可以扫描网站的漏洞,在网络范围内收集信息,利用 ARP 中毒攻击和攻击网络。

步骤

使用Wireshark和科来分别打开两个数据包,数据包存放在桌面案例 > 流量
在这里插入图片描述
在这里插入图片描述
可以重点关注一下,我的图表 > TOP IP主机总流量
在这里插入图片描述

切换至Wireshark窗口,数据包2页面,输入http,可以看到对dologin这个潜在的登陆页面有大量同样来源的IP发送POST请求,推测可能是攻击者对目标Web服务进行爆破行为
在这里插入图片描述

输入http.request.method == POST进一步筛查,点开任意dologin的数据包,查看HTML Form URL Encoded,发现用户名改变了但是密码没有改变。故推测攻击者进行了暴力破解攻击。
在这里插入图片描述
在这里插入图片描述

右键Hypertext Transfer Protocol,追踪HTTP流
在这里插入图片描述

可以从User-Agent字段判断浏览器为Chrome
在这里插入图片描述

切换至科来,在域名中可以看到域名访问量最大的域名中含有tongda字样
在这里插入图片描述

在数据包2界面的dologin数据包HTTP流中搜索tongda字样无果
在这里插入图片描述
切换至数据包1界面,尝试输入ip.src == 172.25.53.9,对攻击者IP进行过滤
在这里插入图片描述
大多数从源IP172.25.53.9发出的数据包发送到了10.67.229.42。对任意数据包追踪数据流,搜索关键字tongda可以找到对应的内容,GET请求了tongda.ico
在这里插入图片描述

可以判断是通达OA无误
针对第三问,无法判断OA攻击的方式和类型,暂时跳过。但根据第四问,对主机上传了木马,判断可以根据木马上传来判断攻击成功时间

切换至科来,在数据包页面利用源172.25.53.9过滤数据包内容
在这里插入图片描述

一点点对数据包进行筛查,可以看到submit.phpsubmit.jpg
在这里插入图片描述
在这里插入图片描述
对数据包定位到会话视图(如果有提交数据错误字样,判断为攻击者在进行上传文件尝试,继续往下筛选即可),可以看到上传文件成功
在这里插入图片描述
在这里插入图片描述
回到数据包查看时间,即为OA第一次攻击成功和受害者主机IP
攻击者肯定先开启VPN代理再进行攻击,故目前数据包内的攻击者IP即为VPN的IP(通过后续会持续确定)
利用科来工具,(可以只打开数据包2分析),定位到会话视图可以看到ad.wappalyzer.com字样
在这里插入图片描述

在Wireshark打开任意攻击者攻击OA的数据包
在这里插入图片描述

通过科来的上一步分析,可以看到大量从IP 101.132.97.152的TCP会话连接到攻击者VPN IP 172.25.53.9
在这里插入图片描述

查看任一TCP会话的数据包,可以看到攻击者的MAC地址
在这里插入图片描述
切换至Wireshark 数据包2,利用ip.src==101.132.97.152 and ip.dst == 172.25.53.9过滤连接
在这里插入图片描述
切换至科来,过滤处输入http过滤数据包,选择dologin字段的数据包
在这里插入图片描述

筛选每个dologin的数据包
在这里插入图片描述

在这里插入图片描述

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com