Предположим, я хочу просмотреть раздел «Пакетные байты» и выполнить поиск команды входящей оболочки, в частности, команды « dir » на компьютере с Windows. Из CLI удаленного злоумышленника, я предполагаю, что это выглядит примерно так:

C:\Windows\System32>dir

Предположим, я решил, что один из способов сделать это - найти « >dir » в содержимом. Что ж, я изучил примеры файлов pcap в Wireshark и заметил, что редко входящий трафик кажется человеческому глазу таким чистым. Вместо этого я вижу что-то вроде:

.......P .|/u~+..
..P...G. ..dir..
Volume i n drive
C has no  label..
. Volume  Serial

Это в основном сломало бы мой метод ... нет символа " > ", предшествующего команде " dir ". Без этого поискового ограничения я рискую забрать все виды ложных срабатываний, такие как:

C:\MyDocuments\Indirect... C:\MyDocuments\MyDirtyPix... (здесь нужно немного юмора;)

Это проблема, которую я могу преодолеть? Какие-либо предложения?

|источник

1 ответ1

1

В Wire Shark нет простого поиска, чтобы найти такие команды. Причина в том, что пользователи могут вставлять последовательности байтов, которые соответствуют команде, фактически не отправляя ее все сразу. Например, di^Hir , где ^H - это забой, будет интерпретироваться как dir , как и dr←i , где - escape-последовательность влево. Они могут сделать его еще более сложным, но суть в том, что у вас просто нет простого способа найти даже три простых символа в порядке по проводам. Правильные, но сложные методы, вероятно, включают в себя подключение к системным вызовам, чтобы увидеть, какие папки / диски / и т.д. И т.д.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .