實驗背景:
某公司安全工程師抓取到一段Wireshark數據包,發現有人成功上傳了WebShell,請找到上傳者的IP地址。
面對一段數據包首先要學會wireshark的過濾規則,其次得知道自己需要查找目標得特征
目標:查找連接webshell的IP地址
思路:找到webshell從而確定IP,webshell不變形的話由以下的特征:上傳webshell一定是以POST方式傳輸,uoload、<?php eval($_POST[ 等關鍵字,webshell一般為php文件
過濾傳輸POST方式並過濾php文件 http.request.method == POST && http contains "php"
追蹤數據流
