WireShark流量分析（任意文件上传）

柔情只为你懂 2022-10-29 10:28 262阅读 0赞

## 首先查看整个流量包，发现基本上为TCP和HTTP的流量数据（帧）。 ##

**还是老套路，网络攻击一般都是通过web来实现，那就先从http开始筛选。**  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L29KaXVKaWVaaG9uZw_size_16_color_FFFFFF_t_70]

**由下图可知，数据帧都是在做一个正常的网页图片的GET请求，有一些少量的POST请求，那下一步再次筛选POST请求。**  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L29KaXVKaWVaaG9uZw_size_16_color_FFFFFF_t_70 1]  
**这下结果显而易见了，大部分POST请求都在访问一个html文件，而唯独有一个数据帧在对upload文件夹进行上传**

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L29KaXVKaWVaaG9uZw_size_16_color_FFFFFF_t_70 2]  
**点开该数据帧，发现这个一个任意文件上传的漏洞，通过修改content-type来实现绕过，并且攻击者通过漏洞上传了一个一句话木马。**

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L29KaXVKaWVaaG9uZw_size_16_color_FFFFFF_t_70 3]

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L29KaXVKaWVaaG9uZw_size_16_color_FFFFFF_t_70]: /images/20221024/38a1b9623daf4972b92815d8fda62633.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L29KaXVKaWVaaG9uZw_size_16_color_FFFFFF_t_70 1]: /images/20221024/9fd12fcf103040d89a75b64cd86e9a38.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L29KaXVKaWVaaG9uZw_size_16_color_FFFFFF_t_70 2]: /images/20221024/4aa02749ae794a68ac42ba7982302035.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L29KaXVKaWVaaG9uZw_size_16_color_FFFFFF_t_70 3]: /images/20221024/d4e6cc44a9c542698227576d5e839325.png