流量分析
主要还是对近期遇到的流量题目做一个总结,重在思路总结,方便以后翻阅@_@
题目:[第九章][9.3.2 webshell混淆流量分析]webshell流量分析
NetA一把梭
手搓
wireshark,筛选http->按包的长度(length)排序。主要还是从大的数据包排查起
展开html项,主要还是看内容,根据其他情况分析
把这些放到cyberchef里面分析,可以看到有“yoya”头,自动解析,得到密码
接着找压缩包,http过滤一下,能过滤得出来,说明还是明文题(没有经过ssl加密等类似的处理),挨个翻包,发现有
当然,也可以进一步设置筛选条件,CTF-流量分析 - Gsupl.落浅~ - 博客园这篇文章开头大致介绍了该如何筛选。这里还是要补充一下,要筛选zip包,建议还是用下面PK这个筛选语句,能够定位到zip的文件头50 4b 03 04
http contains "PK"
注意,这里导出的时候也有一些重点,首先是选中整个“line-base text data”->选择“显示分组字节”
调整开始字节,50 4b 03 04作为文件头->解码选“无”->显示为选“原始数据”->另存为
输入密码Th1s_1s_p4sswd_!!!