简单的网络数据分析溯源(上传WebShell的IP地址)

佚名 5年前 (2020-04-08) Safe 651人围观抢沙发百度已收录

实验背景：

某公司安全工程师抓取到一段Wireshark数据包，发现有人成功上传了WebShell，请找到上传者的IP地址。

面对一段数据包首先要学会wireshark的过滤规则，其次得知道自己需要查找目标得特征

目标：查找连接webshell的IP地址

思路：找到webshell从而确定IP，webshell不变形的话由以下的特征：上传webshell一定是以POST方式传输，uoload、<?php eval($_POST[ 等关键字，webshell一般为php文件

SRE实战互联网时代守护先锋，助力企业售后服务体系运筹帷幄！一键直达领取阿里云限量特价优惠。

过滤传输POST方式并过滤php文件 http.request.method == POST && http contains "php"

追踪数据流

追踪网络传输的数据流发现一句话木马，可以确定IP 112.192.189.124

扫码关注我们

微信号：SRE实战

拒绝背锅运筹帷幄

赞 0 赏分享

转载请注明 : 文章转载自小翔博客简单的网络数据分析溯源(上传WebShell的IP地址)

本文标题：简单的网络数据分析溯源(上传WebShell的IP地址)

本文链接：https://www.liuyixiang.com/post/111485.html

上一篇 : 终于来了！Python 编辑神器 Jupyter ，推出首款官方可视化 Debug 工具！

下一篇 : 工业网络安全产品应用场景

评论列表暂无评论

发表评论

一	二	三	四	五	六	日
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29

简单的网络数据分析溯源(上传WebShell的IP地址)

实验背景：

某公司安全工程师抓取到一段Wireshark数据包，发现有人成功上传了WebShell，请找到上传者的IP地址。

面对一段数据包首先要学会wireshark的过滤规则，其次得知道自己需要查找目标得特征

目标：查找连接webshell的IP地址

思路：找到webshell从而确定IP，webshell不变形的话由以下的特征：上传webshell一定是以POST方式传输，uoload、<?php eval($_POST[ 等关键字，webshell一般为php文件

过滤传输POST方式并过滤php文件 http.request.method == POST && http contains "php"

追踪数据流

追踪网络传输的数据流发现一句话木马，可以确定IP 112.192.189.124

选择打赏方式：

选择分享方式：

Petter

101481

12

121484300

简单的网络数据分析溯源(上传WebShell的IP地址)

实验背景：

某公司安全工程师抓取到一段Wireshark数据包，发现有人成功上传了WebShell，请找到上传者的IP地址。

面对一段数据包首先要学会wireshark的过滤规则，其次得知道自己需要查找目标得特征

目标：查找连接webshell的IP地址

思路：找到webshell从而确定IP，webshell不变形的话由以下的特征：上传webshell一定是以POST方式传输，uoload、<?php eval($_POST[ 等关键字，webshell一般为php文件

过滤传输POST方式并过滤php文件 http.request.method == POST && http contains "php"

追踪数据流

追踪网络传输的数据流发现一句话木马，可以确定IP 112.192.189.124

选择打赏方式：

选择分享方式：

Petter

101481

12

121484300

User Login

帐号或密码错误,请重试.