流量分析

考点: 冰蝎流量解密+部分明文攻击 看请求路由可以知道 shell.php是上传的马子 过滤器 http 加密返回包+前16为完整base编码字符 一眼冰蝎流量解密 爆破aes常用密码 就是冰蝎默认aes密码 e45e329feb5d925b 冰蝎从开头流量都是连接初始化之类的,==一般关键数据在后面== 从后向前看发现 对通信流量解密并且处理后 No.1962 request请求数据解密 关键数据 ...

看分组也知道考http流量 是布尔盲注 过滤器筛选http流量 将流量包过滤分离 http tshark -r timu.pcapng -Y "http" -T json > 1.json 这个时候取 http.request.uri 进一步分离 tshark -r timu.pcapng -Y "http" -T json -e http.request.uri > 2.json 按字典依次取出数据即可 编写脚本处理即可 ...