Misc 总结 ----流量分析 场景模拟

Meng0f

Misc 总结 ----流量分析 场景模拟

转载于：衡阳信安

​
这是misc系列的最后一篇文章了。这篇文章主要由三个场景构成。
网络协议—暴力破解实验目的
掌握暴力破解流量的分析方法
学会利用wireshark的filter过滤出有价值的信息
实验环境

• 操作机：Windows XP
  
  • Wireshark
  • 实验工具：
    
          

实验内容这是一些本地服务被暴力破解的流量。提交Flag格式flag{尝试登录的次数_服务正确的密码}，如尝试98次登录，第98次登陆成功，使用密码123456则flag为flag{98_123456}

实验一

整体分析流量包

方法一 使用wireshark的统计功能
wireshark菜单栏提供了功能，协议分级。本流量包全是已经过滤好的FTP流量方便分析。统计 - 协议分析 ：

​

通过这个功能是可以快捷的分析出流量包的都有一些什么协议，以及各种协议的占比。

方法二 过滤器的应用
通过前面实验对于FTP协议的学习，我们知道当返回码是230的时候用户成功登录。
应用过滤器ftp.response.code==230:

​

然后在第一个数据包右键追踪TCP流：

​

可以知道登录用户名ubuntu，成功登陆的密码：swings666。
接下来查找暴力破解尝试登录的次数。暴力破解用户的密码，我们可以直接过滤客户端发送的ftp命令：pass，应用过滤器ftp.request.command == "PASS"：

​

然后通过 统计 - 捕获文件属性 - 统计，已显示：

​

可以获知一共进行了41此密码尝试。所以综上Flag为flag{41_swings666}

网络协议-端口扫描
实验目的
了解端口扫描的原理
分析端口扫描工具的具体操作
通过流量还原扫描的结果
实验环境

• 操作机：Windows XP
  
  • Wireshark2.2
  • binwalk for windows
  • 实验工具：
    

实验内容　　

这是一些黑客使用扫描工具对目标主机进行扫描的流量，请问目标主机开放了哪些端口？对80端口的扫描中，是否有得到可以访问的目录？(flag格式：flag{端口号_端口号_YES/NO}端口号按从小到大排序，如flag{10_15_5111_YES})

实验一

先分析目标主机开放的端口。
方法 观察TCP流

•         操作步骤详解
  

使用wireshark载入scan.pcapng，得益于wireshark会给我们标记不同数据包的颜色，我们可以看到大量的由192.168.233.128发给192.168.233.131不同端口的TCP，SYN报文：

​

直接跟着这些TCP数据包，往后面看：

​

可以看到，向21，22，80端口发送的SYN是成功建立了TCP连接的，意味着端口开放。

实验二　　

继续分析流量，查看扫描端口后做了什么。

方法一 观察HTTP流量

先大致浏览一下后面的流量包，我们可以直接应用过滤规则：http过滤http流量分析。

​

结合之前所讲，我们知道当http访问成功的时候，是会返回http状态码，"200，ok"的。我们目前分析的流量包HTTP数据不是很多，可以直接去看，查找。观察过滤出来的http流量是没有200状态码的，也就没有获得任何目录或文件信息。
注释
有两个方法可以应用过滤器，在大量的数据包中过滤出我们想要得到的东西：

•         在分组详情中右键，应用过滤器。
  

​

    2. 使用filter的表达式功能。

​

实验三分析FTP和ssh操作
方法一 FTP操作
序号为2203及附近的FTP数据包，获取了FTP服务器的banner欢迎信息，然后尝试了采用TLS方式连接和匿名用户登录等操作。
方法二 SSH操作
获取到SSH的版本协议等信息：SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu2.1
综上，flag为：flag{21_22_80_NO}

网络协议-漏洞分析

实验目的

分析入侵者的行为
了解二进制漏洞利用形式
实验环境

•         操作机：Windows 7
  

实验工具

•         wireshark 2.2.*
  

实验内容　　

分析入侵者如何拿到服务器权限
方法

•         操作步骤详解
  

过滤HTTP流量，可见192.168.233.128访问了192.168.233.133的80端口，并成功获取了页面。h页面文件大，可以提取出来，使用浏览器打开。
我们得知这是一个Easy File Sharing Web Server然后注意到HTTP流量异常之处：

​

此时应该还不明白这个http数据包的作用。继续分析：

​

注意到Server192.168.233.133主动向192.168.233.128的8888端口建立了tcp连接，然后192.168.233.128向192.168.233.133发送了大量数据。
这个过程说明server主机已经被控制。通过查找Easy File Sharing Web Server的相关漏洞，我们可以了解到这是一个存在于Easy File Sharing Web Server7.2版本的缓冲区溢出漏洞。而之前畸形的HTTP数据包就是漏洞的payload。

总结
到此，这个misc系列就告一段落了，附件如下！

•         https://xz.aliyun.com/forum/upload/affix/20180122223021-c6d35236-ff80-1.zip
•         https://xz.aliyun.com/forum/upload/affix/20180122223028-cadb57ac-ff80-1.zip
•         https://xz.aliyun.com/forum/upload/affix/20180122223037-d05c5686-ff80-1.zip
  

​