假设我希望检查“数据包字节”部分并搜索入站外壳程序命令的执行,特别dir是Windows机器上的“ ”命令。从远程攻击者的CLI,我假设它看起来像这样:
C:\Windows\System32>dir
假设我决定执行此操作的一种方法是>dir在内容中搜索“ ”。好吧,我在Wireshark中检查了示例pcap文件,并注意到传入的流量很少像现在这样清晰地出现在人眼中。相反,我看到类似以下内容:
.......P .|/u~+..
..P...G. ..dir..
Volume i n drive
C has no label..
. Volume Serial
这基本上会破坏我的方法…… >“ dir”命令前没有“ ”字符。如果没有这种搜索约束,我将冒着各种各样的误报的风险,例如:
C:\MyDocuments\Indirect... C:\MyDocuments\MyDirtyPix... (这里一定要有幽默感;)
这是我可以克服的问题吗?有什么建议?
您无法在Wire Shark中进行简单的搜索来找到类似这样的特定命令。原因是用户可以插入与命令相对应的字节序列,而无需立即发送所有命令。例如di^Hir,当^H是退格,将被解释为dir,正如dr←i,其中←是左箭头转义序列。他们可能会使它变得更加复杂,但是要点是-您根本没有一种简单的方法来通过导线依次找到三个简单的字符。正确但复杂的方法可能包括钩入系统调用,以查看访问了哪些文件夹/驱动器/等,依此类推。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句