这是misc系列的最后一篇文章了。这篇文章主要由三个场景构成。

网络协议—暴力破解

实验目的

掌握暴力破解流量的分析方法
学会利用wireshark的filter过滤出有价值的信息

实验环境

• 操作机：Windows XP
  • 实验工具：
    • Wireshark

实验内容

　　这是一些本地服务被暴力破解的流量。提交Flag格式flag{尝试登录的次数_服务正确的密码}，如尝试98次登录，第98次登陆成功，使用密码123456则flag为flag{98_123456}

实验一

整体分析流量包

方法一 使用wireshark的统计功能

wireshark菜单栏提供了功能，协议分级。本流量包全是已经过滤好的FTP流量方便分析。统计 - 协议分析 ：

通过这个功能是可以快捷的分析出流量包的都有一些什么协议，以及各种协议的占比。

方法二 过滤器的应用

通过前面实验对于FTP协议的学习，我们知道当返回码是230的时候用户成功登录。

应用过滤器ftp.response.code==230:

然后在第一个数据包右键追踪TCP流：

可以知道登录用户名ubuntu，成功登陆的密码：swings666。

接下来查找暴力破解尝试登录的次数。暴力破解用户的密码，我们可以直接过滤客户端发送的ftp命令：pass，应用过滤器ftp.request.command == "PASS"：

然后通过 统计 - 捕获文件属性 - 统计，已显示：

可以获知一共进行了41此密码尝试。所以综上Flag为flag{41_swings666}

网络协议-端口扫描

实验目的

了解端口扫描的原理
分析端口扫描工具的具体操作
通过流量还原扫描的结果

实验环境

• 操作机：Windows XP
  • 实验工具：
    • Wireshark2.2
    • binwalk for windows

实验内容

　　这是一些黑客使用扫描工具对目标主机进行扫描的流量，请问目标主机开放了哪些端口？对80端口的扫描中，是否有得到可以访问的目录？(flag格式：flag{端口号_端口号_YES/NO}端口号按从小到大排序，如flag{10_15_5111_YES})

实验一

　　先分析目标主机开放的端口。

方法 观察TCP流

• 操作步骤详解

使用wireshark载入scan.pcapng，得益于wireshark会给我们标记不同数据包的颜色，我们可以看到大量的由192.168.233.128发给192.168.233.131不同端口的TCP，SYN报文：

直接跟着这些TCP数据包，往后面看：

可以看到，向21，22，80端口发送的SYN是成功建立了TCP连接的，意味着端口开放。

实验二

　　继续分析流量，查看扫描端口后做了什么。

方法一 观察HTTP流量

先大致浏览一下后面的流量包，我们可以直接应用过滤规则：http过滤http流量分析。

结合之前所讲，我们知道当http访问成功的时候，是会返回http状态码，"200，ok"的。我们目前分析的流量包HTTP数据不是很多，可以直接去看，查找。观察过滤出来的http流量是没有200状态码的，也就没有获得任何目录或文件信息。

注释

有两个方法可以应用过滤器，在大量的数据包中过滤出我们想要得到的东西：

1. 在分组详情中右键，应用过滤器。

1. 使用filter的表达式功能。

实验三

　　分析FTP和ssh操作

方法一 FTP操作

序号为2203及附近的FTP数据包，获取了FTP服务器的banner欢迎信息，然后尝试了采用TLS方式连接和匿名用户登录等操作。

方法二 SSH操作

获取到SSH的版本协议等信息：SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu2.1

综上，flag为：flag{21_22_80_NO}

网络协议-漏洞分析

实验目的

分析入侵者的行为
了解二进制漏洞利用形式

实验环境

• 操作机： Windows 7

实验工具

• wireshark 2.2.*

实验内容

　　分析入侵者如何拿到服务器权限

方法

• 操作步骤详解

过滤HTTP流量，可见192.168.233.128访问了192.168.233.133的80端口，并成功获取了页面。h页面文件大，可以提取出来，使用浏览器打开。

我们得知这是一个Easy File Sharing Web Server然后注意到HTTP流量异常之处：

此时应该还不明白这个http数据包的作用。继续分析：

注意到Server192.168.233.133主动向192.168.233.128的8888端口建立了tcp连接，然后192.168.233.128向192.168.233.133发送了大量数据。

这个过程说明server主机已经被控制。通过查找Easy File Sharing Web Server的相关漏洞，我们可以了解到这是一个存在于Easy File Sharing Web Server7.2版本的缓冲区溢出漏洞。而之前畸形的HTTP数据包就是漏洞的payload。

总结

到此，这个misc系列就告一段落了。