简单的网络数据分析溯源(上传WebShell的IP地址)

实验背景:

某公司安全工程师抓取到一段Wireshark数据包,发现有人成功上传了WebShell,请找到上传者的IP地址。

面对一段数据包首先要学会wireshark的过滤规则,其次得知道自己需要查找目标得特征

简单的网络数据分析溯源(上传WebShell的IP地址)

目标:查找连接webshell的IP地址

思路:找到webshell从而确定IP,webshell不变形的话由以下的特征:上传webshell一定是以POST方式传输,uoload、<?php eval($_POST[ 等关键字,webshell一般为php文件

 

过滤传输POST方式并过滤php文件  http.request.method == POST && http contains "php"

 

简单的网络数据分析溯源(上传WebShell的IP地址)

追踪数据流

简单的网络数据分析溯源(上传WebShell的IP地址)

追踪网络传输的数据流发现一句话木马,可以确定IP 112.192.189.124

上一篇:1_文件上传漏洞原理


下一篇:常用webshell提权方法总结