Công cụ phân tích gói tin & giám sát mạng - Network Analysis Tools

Thảo luận trong 'Tools' bắt đầu bởi Sugi_b3o, 23/02/17, 01:02 PM.

  1. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 347
    Đã được thích: 266
    Điểm thành tích:
    63
    Hôm nay mình xin giới thiệu công cụ phân tích file pcap, sau khi đã capture các gói tin tại server web, hệ thống và sử dụng công cụ này để phát hiện các shell, payload của kẻ xấu đã thực hiện tấn công máy chủ.
    Ngoài ra nó có thể dùng trong các cuộc thi CTF theo hình thức Attack - Defense trên hệ thống của mỗi đội.

    Đầu tiên các bạn tiến hành cài đặt các thư viện hỗ trợ:
    Mã:
    $ pip install pyshark
    $ pip install dpkt
    * Nếu bạn cài pyshark bằng lệnh pip không được thì dùng lệnh dưới đây để tải về và cài đặt:
    Mã:
    wget https://pypi.python.org/packages/5b/5b/496a5cf470c92a8bb97da4743b78ca01dccf7823dbe4d3e1610f46abafd8/pyshark-0.3.6.2.zip
    unzip pyshark-0.3.6.2.zip
    cd pyshark-0.3.6.2
    python setup.py install
    Sau đó tải về & chạy công cụ Network Analysis Tools
    Mã:
    git clone https://github.com/azizaltuntas/Network-Analysis-Tools
    cd Network-Analysis-Tools
    python networkframework.py
    
    Sau đây mình tiến hành phân tích demo một file pcap tấn công vào lỗ hổng SQL của Joomla CVE 2008-0514
    Đây là giao diện chính của công cụ. [​IMG]




    Minh chọn chức năng 1 để phân tích file pcap, và điền đường dẫn đến file pcap cần phân tích
    [​IMG]




    Chọn 11 để chọn chức năng phát hiện các lỗi tấn công web, và chọn 3 để tìm các lỗi liên quan đến SQL Injection và hiển thị kết quả là payload tấn công SQL của kẻ xấu.
    Ngoài ra công cụ này cũng có thể phát hiện các dạng tấn công khác như XSS, LFI. [​IMG]




    Chọn 6 để xem Chi tiết các kết nối. [​IMG]
    Hiển thị toàn bộ port đang giao tiếp
    [​IMG]
    Kiểm tra với lỗi LFI

    *Note: nếu như các bạn nhận được file pcapng thì dùng lệnh sau để đổi sang pcap

    Mã:
    editcap -F pcapng file.pcapng file.pcap
    Tham khảo:
    http://www.kitploit.com/2017/02/netw...p-capture.html
     
    Last edited by a moderator: 24/02/17, 09:02 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. Aramx10

    Aramx10 New Member

    Tham gia: 16/06/20, 12:06 PM
    Bài viết: 4
    Đã được thích: 0
    Điểm thành tích:
    1
    I really need your help to install this tool,
    I downloaded from github but have many errors, specially that one "import pyshark importerror: no module named pyshark"
    Even I installed pyshark, but still got the same error
    I'm using latest version of Parrot OS
    Hope you can help me out.
    Thanks.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 347
    Đã được thích: 266
    Điểm thành tích:
    63
    Please try pip install pyshark
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. Aramx10

    Aramx10 New Member

    Tham gia: 16/06/20, 12:06 PM
    Bài viết: 4
    Đã được thích: 0
    Điểm thành tích:
    1
    I did this one and still get the same error!!!
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. Aramx10

    Aramx10 New Member

    Tham gia: 16/06/20, 12:06 PM
    Bài viết: 4
    Đã được thích: 0
    Điểm thành tích:
    1
    I got this message now when I type your command

    Requirement already satisfied: pyshark in /usr/local/lib/python3.8/dist-packages/pyshark-0.3.6.2-py3.8.egg (0.3.6.2)
    Requirement already satisfied: lxml in /usr/lib/python3/dist-packages (from pyshark) (4.5.0)
    Requirement already satisfied: py in /usr/local/lib/python3.8/dist-packages (from pyshark) (1.8.2)
    ERROR: Could not find a version that satisfies the requirement trollius==1.0.4 (from pyshark) (from versions: 2.1.post2)
    ERROR: No matching distribution found for trollius==1.0.4 (from pyshark)
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. Aramx10

    Aramx10 New Member

    Tham gia: 16/06/20, 12:06 PM
    Bài viết: 4
    Đã được thích: 0
    Điểm thành tích:
    1
    Sorry again
    I reinstall my whole system OS then try to download and install your tool
    Attached the new screenshots of what error I got
    Hope You can help me in fix this problem

    Screen 98 + 99 are following the same one of code pip install dpkt
    Screen 100+ 101 are following the same one of code pip install pyshark
    Screen 102 is the output of running python networkframework.py
     

    Các file đính kèm:

    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. DDos

    DDos Administrators Thành viên BQT

    Tham gia: 22/10/13, 08:10 PM
    Bài viết: 1,738
    Đã được thích: 398
    Điểm thành tích:
    83
    using pip3 command instead of using pip
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Sugi_b3o thích bài này.