标签：WebShell webshell 数据包 过滤 IP地址 POST 上传 溯源

实验背景：

某公司安全工程师抓取到一段Wireshark数据包，发现有人成功上传了WebShell，请找到上传者的IP地址。

面对一段数据包首先要学会wireshark的过滤规则，其次得知道自己需要查找目标得特征

目标：查找连接webshell的IP地址

思路：找到webshell从而确定IP，webshell不变形的话由以下的特征：上传webshell一定是以POST方式传输，uoload、<?php eval($_POST[ 等关键字，webshell一般为php文件

过滤传输POST方式并过滤php文件  http.request.method == POST && http contains "php"

追踪数据流

追踪网络传输的数据流发现一句话木马，可以确定IP 112.192.189.124

标签：WebShell,webshell,数据包,过滤,IP地址,POST,上传,溯源
来源： https://www.cnblogs.com/sup3rman/p/12659465.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。