Burp,Yakit导入证书
Burp导入证书
1.首先要把Burp Suite的CA证书下载到本地,让火狐浏览器开了127.0.0.1:8080代理才可以下载证书,也就是要让Burp Suite能抓到浏览器的http包的情况下,才能访问到 https://burp。
2.打开下图浏览器代理插件,新建情景模式,协议,服务器,端口按Burp中的修改,改成图中的样子。然后开启代理
3.访问https://burp,下载证书
4.在浏览器的设置中搜索证书
5.导入CA证书,勾选两个信任。
6.在火狐浏览器访问百度https://www.baidu.com/,观察Burp的历史记录,发现Burp可以抓到https的包了!
Yakit导入证书
1.打开Yakit,先点高级配置,再点证书下载。
2.接下来的步骤与Burp的4~6步相同,不再赘述。
流量分析(考试题)
流量走向图
分析
浏览器请求http的数据包,yakit的监听端口8083(可改),Burp的监听端口8080(可改)监听到数据包并抓取,流量从浏览器到Yakit和Burp,再到Clash,最终通过节点出去。
爬虫程序中的代理部分,和.exe文件的流量,通过Proxifier代理软件,转到Clash的节点出去。
Wireshark是一款网络协议分析工具,它主要工作在网络层及以上的层级。具体来说,Wireshark可以分析的数据包范围包括:
网络层:如IPv4、IPv6等协议的数据包。
传输层:如TCP、UDP等协议的数据包。
数据链路层:如PPP、HDRC、ARP协议的数据包
应用层:如HTTP、HTTPS、FTP、SMTP、DNS等应用层协议的数据包。
皮卡包分析
1.下载老师的114.pcapng(抓的蚁剑的包)。输入过滤命令:(ip.src_host==192.168.2.114 or ip.dst_host==192.168.2.114) and http,然后按下图操作
2.红色部分代表发出,蓝色部分代表返回
- 介绍了在线加密和解密网站 https://icyberchef.com/ to Base64—加密 from—解密
4.把下图1过程左边的URL拖到下图的位置,把之前的全部红色部分复制到右上框,在另外一个网页访问 https://icyberchef.com/ 把2过程的from base64拖到下图位置,把红色部分的最后一行复制有上框,在右上框从第一个字符一个一个删,直至得到操作者的命令。
5.下载老师的db.pcapng(抓sqlmap的包)输入过滤命令:(ip.src_host==192.168.2.70 or ip.dst_host==192.168.2.70) and http,然后和之前的步骤一样,追踪流-——>到解码网站解码
6.对上图的解码出的sql语句分析,获取第9个字符,判断他是否大于1,大于1则返回true,小于1则返回false,下图是比较第8行和第9行的不同。
四大webshell管理工具
蚁剑(AntSword): 蚁剑是一款开源的WebShell客户端,支持多种编程语言和平台。其主要功能包括文件管理、数据库管理、虚拟终端等。蚁剑的特点是具有强大的插件系统,可以扩展其功能。此外,蚁剑的流量特征较为明显,容易被安全设备识别。
菜刀(Chopper): 菜刀是一款经典的WebShell管理工具,具有文件管理、数据库管理、虚拟终端等功能。菜刀的流量特征较为明显,通常会被安全设备识别。菜刀的Webshell通常使用一句话木马,执行函数如@eval、@assert等。
哥斯拉(Godzilla): 哥斯拉是一款功能强大的Webshell权限管理工具,支持多种类型的Shell,包括PHP、JSP、ASP等。哥斯拉的特点是全部类型的Shell都能绕过市面上的大部分静态查杀和流量WAF。此外,哥斯拉还具有流量加密功能,可以绕过大部分的流量检测。哥斯拉还自带插件,如冰蝎、蚁剑等,可以实现更多的功能。
冰蝎(Behinder): 冰蝎是一款动态二进制加密的Webshell管理客户端,主要基于Java开发,因此可以跨平台使用。冰蝎的特点是客户端基于Java,兼容性较好。冰蝎的Webshell通常使用Base64加密,以避免被检测。其流量特征较为明显,容易被安全设备识别。