假设我希望检查数据包字节部分并搜索入站 shell 命令执行 - 具体来说,是dirWindows 计算机上的“”命令。从远程攻击者的 CLI,我假设它看起来像这样:
C:\Windows\System32>dir
假设我决定这样做的一个方法是在内容中搜索“ >dir”。好吧,我已经检查了 Wireshark 中的示例 pcap 文件,并注意到传入流量很少像这一样清晰地出现在人眼中。相反,我看到的是类似这样的内容:
.......P .|/u~+..
..P...G. ..dir..
Volume i n drive
C has no label..
. Volume Serial
这基本上会破坏我的方法……“”命令前面没有>“”字符dir。如果没有此搜索限制,我可能会遇到各种误报,例如:
C:\MyDocuments\Indirect... C:\MyDocuments\MyDirtyPix... (这里必须有点幽默;)
我能解决这个问题吗?有什么建议吗?
答案1
在 Wire Shark 中,没有简单的搜索可以找到这样的特定命令。原因是用户可能会插入与命令相对应的字节序列,而无需真正一次发送所有命令。例如di^Hir,其中^H是退格键,将被解释为dir,dr←i其中←是左箭头转义序列。他们可以让它变得更加复杂,但关键是——你根本无法轻松地通过网络按顺序找到三个简单的字符。正确但复杂的方法可能包括挂接系统调用以查看访问了哪些文件夹/驱动器/等,等等。