Day2流量分析和文件分析

Day2

2-1、syn半链接攻击流量分析

syn,ack窗口是开放状态，ack,syn窗口是关闭状态

2-2、sql注入攻击流量分析一

get请求的是攻击ip地址。

以下是sql函数，猜数据库名字。

以下是布尔盲注函数，有ascii

怎么判断黑客成功获知数据库名长度前后返回页面的数据包内容

根据图片中的you are in才证明ascii猜对了，或者图中的1，2也可以。

2-3、sql注入攻击流量分析二

此时不再是ascii，而是sleep所以变成了时间盲注。

2-4、web入侵溯源一

截取流量中黑客(首次)开始尝试后台登录的数据包，就是去寻找其中的访问admin.login页面。

可以通过选中右键追踪流tcp流，由此来找某个页面的源代码。

2-5、web入侵溯源二

和一没有太大的区别，主要就是排除干扰项，寻找正确的数据包。

2-6、流量分析

1. 根据上面对于wireshark的应用巧妙地使用追踪流来找到密码。
2. 找到文件内容编码之后用the-x.cn这个网站进行转码，有时候不是简单的文字编码，而是图片编码。
3. 有时候目标flag就藏在文件内容编码内。

2-7、文件分析

1. 使用010editor，flag也许就藏在最后。
2. 查看图片属性详细信息，也许就能找到flag。
3. 对图片进行观察，对图片进行大小的改变。即使用010editor对其改写。一般都在第二行的6 7列，和第二行的3 4列。或者查看图片详细属性，可以使用计算器计算出相应的十六进制数，比如1308的十六进制就是51C，就在010editor中寻找51C，即这个图像的宽度。
4. 使用archpr.exe进行暴力破解，在破解时可以填入字典，字典通过字典生成工具品轩字典生成器来生成。