有没有办法可靠地在 Wireshark 中搜索命令行执行?

有没有办法可靠地在 Wireshark 中搜索命令行执行?

假设我希望检查数据包字节部分并搜索入站 shell 命令执行 - 具体来说,是dirWindows 计算机上的“”命令。从远程攻击者的 CLI,我假设它看起来像这样:

C:\Windows\System32>dir

假设我决定这样做的一个方法是在内容中搜索“ >dir”。好吧,我已经检查了 Wireshark 中的示例 pcap 文件,并注意到传入流量很少像这一样清晰地出现在人眼中。相反,我看到的是类似这样的内容:

.......P .|/u~+..
..P...G. ..dir..
Volume i n drive
C has no  label..
. Volume  Serial

这基本上会破坏我的方法……“”命令前面没有>“”字符dir。如果没有此搜索限制,我可能会遇到各种误报,例如:

C:\MyDocuments\Indirect... C:\MyDocuments\MyDirtyPix... (这里必须有点幽默;)

我能解决这个问题吗?有什么建议吗?

答案1

在 Wire Shark 中,没有简单的搜索可以找到这样的特定命令。原因是用户可能会插入与命令相对应的字节序列,而无需真正一次发送所有命令。例如di^Hir,其中^H是退格键,将被解释为dirdr←i其中是左箭头转义序列。他们可以让它变得更加复杂,但关键是——你根本无法轻松地通过网络按顺序找到三个简单的字符。正确但复杂的方法可能包括挂接系统调用以查看访问了哪些文件夹/驱动器/等,等等。

相关内容