type
status
date
slug
summary
tags
category
icon
password
pcap流量包分析
PCAP是一种文件格式,用于存储从网络上捕获的数据包。
PCAP文件通常包含了捕获的网络数据包的头部信息、数据包的数据部分、时间戳以及流量等元数据,并以二进制格式保存。PCAP文件可以用于网络协议分析、网络流量统计、网络攻击检测和流量监测等任务。
PCAP包一般由以下几个部分构成:
包头:文件格式标识、版本号、时间戳等信息
数据包头:网络数据包的头部信息,包括协议类型(如IP、TCP、UDP等)、源IP地址、目的IP地址、协议端口、序号、确认号等信息
数据包数据:网络数据包的真实数据部分
数据包尾:校验码、填充等信息
可以使用Wireshark打开原始pacp包文件
以此为例
从左到右依次为:
[编号],[时间],[源IP],[目的IP],[协议],[包长度],[包内容:源端口->目的端口]
Frame:物理层的数据帧概况。
Ethernet II:数据链路层以太网帧头部信息。
802.1Q:vlan报文。
Internet Protocol Version 4:互联网层IP包头部信息。
Transmission Control Protocol:传输层的数据段头部信息,此处是TCP协议。
Hypertext Transfer Protocol:应用层的信息,此处是HTTP协议。
Ethernet II(链路层)中看MAC地址
Internet Protocol Version 4(网络层)看IP地址
Transmission Control Protocol(传输层)看端口
data字段表示数据包的有效载荷或负载部分。
常见字段
Frame Number(帧编号):每个数据包在PCAP文件中都有一个唯一的帧编号,用于标识数据包的顺序。
Timestamp(时间戳):记录数据包捕获的时间,可以用于分析数据包的时序关系和延迟等问题。
Source/Destination Address(源/目标地址):指示数据包的源IP地址和目标IP地址,用于标识通信的发送方和接收方。
Protocol(协议):指示数据包所使用的协议,如TCP、UDP、ICMP等。
Length(长度):表示数据包的总长度,包括头部和负载部分。
Source/Destination Port(源/目标端口):指示数据包所使用的源端口和目标端口,用于标识通信的源应用程序和目标应用程序。
Flags(标志):用于指示TCP数据包的各种状态和标志位,如SYN、ACK、FIN等。
Checksum(校验和):用于验证数据包的完整性,以确保数据在传输过程中没有被损坏或篡改。
带外应用安全测试(OAST)
OAST 结合了传统 DAST 的交付机制和 IAST 的检测能力。它动态地发送检测代码到应用程序,当以不安全的方式被执行时,就会触发漏洞,攻击的结果不会直接返回到响应包中,而是使其与外部系统进行网络互动(例如:DNS)。互动的内容包括了漏洞的类型和触发互动的输入点。
在渗透测试过程中, 经常会使用到dnslog服务器,用于dns嗅探以及OOB,当前网络上有许多公开的dnslog平台工具可供使用,主要有
http://www.dnslog.cn
http://ceye.io
dnslog服务器:
扫描器
DNSLog渗透测试活动事件中的bxss.me
IOC为
*bxss.me,bxss.me的三级域名bxss.me为AWVS扫描器的DNSLog无回显漏洞探测
zgrab扫描器
User-Agent:Mozilla/5.0zgrab/0.x
Crawlergo
使用 Crawlergo 扫描网站,HTTP 头带有自定义字段
Spider-Name: crawlergoAWVS 扫描器特征
(1) Accept:acunetix/wvs
(2) HTTP 请求头存在 Acunetix-* 的自定义字段
(3) HTTP 请求包或者响应包中包含 hit*.bxss.me
Burp Collaborator
polling.burpcollaborator.net
- AWVS
AWVS扫描器在请求的URL,Headers, Body三项里随机包含了能代表自己的特征信息
- Nessus
Nessus扫描器的特征信息同样在请求的URL,Headers,Body三项里
- APPScan
Appscan依然在请求的URL,Headers,Body三项里随机包含了能代表自己的特征信息
Palo Alto Networks scaninfo 扫描流量
User-Agent: Expanse, a Palo Alto Networks company, searches across the global IPv4 space multiple times per day to identify customers' presences on the Internet. If you would like to be excluded from our scans, please send IP addresses/domains to: scaninfo@paloaltonetworks.comNMAP
/nice ports,/Trinity.txt.bak
除了请求体中的nmap字段
pacp报中的windows字段
NMAP 使用了固定的窗口大小(1024)(网上看的,但我的设备大多数是229)
同时也使用了固定的TCP OPTIONS (02 04 05 b4 TCP中最短的OPTIONS长度)
Realtek SDK 任意命令注入
Mozi僵尸网络
特征:User-Agent: Hello, World
Mozi.m,Mozi.o
这段流量在目标服务器上下载恶意文件mozi.m,保存在tmp/gpon80下并运行
攻击的设备类型,涉及GPON光纤设备、NetGear路由设备、华为、D-Link路由设备、使用Realtek SDK的设备、Vacron监控摄像机、斐讯路由器、 USR-G806 4G工业无线路由器等:
phishing site访问钓鱼网站事件
phishing 钓鱼网站,把网站域名和内容进行伪装,诱骗用户访问
使用微步情报社区进行查验网站
在监测中,钓鱼网站事件的误报率是比较大的,我们除了查看网站情报社区的黑白名单外,还可以对所触发的外网终端进行筛查(发现喜欢摸鱼的经常会触发),除此之外第三方下载站的访问(华军,站长之家…),对于这类的审查没有太好的办法。
CVE-2017-7921 海康威视(Hikvision) 摄像头漏洞
请求头特征:auth=YWRtaW46MTEK
NETCORE后门漏洞利用
Netcore国外品牌名称为Netis)为国产系列路由器,此后门漏洞攻击者可以获取路由器Root权限。
特征
使用端口:53143
UDP报文Data数据段,数据为
AAAAAAAAnetcore激活后门登录。接着发送另外一段UDP报文,切换目录下载Gafgyt僵尸网络木马并执行,数据段为:
账号暴力猜解
直接看流量告警数量,数量较和时间跨度较小的可以直接排除,多半是哪个大哥把密码给忘了(好心点,你帮大哥给记住,下次再看到大哥猜密码,你告诉大哥一声)
cdn负载均衡服务和获取真实IP
经过加速后源站的服务器获取到的客户端IP地址为CDN加速设备的IP地址。
在监测时的安全设备表现为
其中Header头中的字段有自己自定义的,有查看是否有多个ip不一致
X-Forwarded-For或者cdn-Real-Ip等字段即为获取真实IP所添加的,但是在渗透测试中,通过参数请求获取真实IP的方式仍有可能被伪造。
冰蝎流量特征
请求体都存在以
@ini_set("display_errors","0");@set_time_limit(0)开头。并且响应体的返回结果是base64编码发混淆字符,格式为:随机数 结果 随机数