声明:流量分析是一个大题,包含SnakeBackdoor-1~6,因为篇幅原因,暂时先逐题解析,整理完所有内容后再整合在一起。
SnakeBackdoor-1
题目内容提示了我们整个流量分析需要做的事情,这是一个“流量取证 + 恶意代码分析”题目。不仅考察从海量流量中找到漏洞利用相关数据包的能力,还要求具备后渗透阶段的取证能力,包括木马样本提取、逆向分析通信协议以及系统持久化机制的排查。
文件下载下来是一个attack.pcap,已经进行资源绑定,可以在文章顶部下载。
题目1要求我们找到攻击者爆破成功的后台密码,解题思路如下:
1、锁定目标:找到爆破行为发生的数据流(通常是大量的HTTP POST请求)。 2、寻找异常:在一堆“失败”的响应中,找到那个“长得不一样”的响应包通常是响应包长度不同,或者是状态码变成了302跳转。 3、溯源请求:找到这个异常响应对应的请求包,查看里面的密码参数。1、锁定目标:在海量数据流找到爆破行为的数据流
在wireshark过滤器中输入http.request.method=="POST,过滤出http的POST请求
可以看到,过滤的数据包响应长度几乎差不多,符合我们预期的爆破行为的特征
随便选择几个数据包,右键追踪流=>TCP流
发现里面有账号和密码的请求,且一直改变,更加确认这是在进行账号密码爆破
2、寻找异常:响应长度突变即爆破成功的地方
在这里发现响应长度突然从793跳变到5396
并且在这之前紧挨着的login的POST请求中,追踪流=>TCP流可以看到状态码从200跳转到302
3、溯源请求:在登录成功的数据包中找到登录账户和密码
所以最后一次的login请求即为爆破成功的数据包
右键追踪流=>TCP流,数据包中的账号密码是正确的账号密码
得到flag为flag{zxcvbnm123}
