我们可以通过wireshark抓获一些数据包,打开数据包后能够看到大量来自 192.168.177.155 的 TCP 连接请求,且均为 TCP 三次握手中的第一次 SYN 请求,而且目的端口一直在改变。
由此我们可以判断出192.168.177.155这台主机正在对192.168.177.145这台主机进行端口扫描
我们可以通过过滤器(ip.src==xxx and tcp.flags.syn==x)过滤出 192.168.177.145 回复了SYN/ACK 的数据包。以确定 192.168.177.145 开放了15个端口(如果目标主机回复了SYN/ACK包,则说明该端口处于开放状态。如果回复的是 RST/ACK 包,则说明这个端口处于关闭状态tcp.flags.syn==1说明该端口是开放的)
若是针对web的攻击,我们可以在捕获的数据包中过滤出http协议相关的数据包,通过 get 请求的来源 IP,可以判断出黑客的攻击 IP是192.168.177.1,查看 http 数据包的 get 请求参数处,发现大量的 sql 语句,因此黑客正在进行sql攻击,
根据上图中的sql语句可以看出,黑客正在尝试获得数据库名的长度。
观察 get 请求包的 user-agent 头为 python-reqursts,可以判断黑客使用了 python 脚本对目标实施的攻击。同时攻击的 payload 中 ascii,和比较符等关键字。说明黑客使用的注入技术为布尔盲注。
观察sql语句发现布尔盲注数据库名称的第一位在=115时结束,判断出第一位的ascll码值为115,对应的字母是s,以此类推可得出数据库名称。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
