背景
本系列的第一部分讲述了什么是厚客户端应用程序,并搭建了试验环境,最后对目标应用程序进行信息收集。从这篇文章开始,我们会慢慢走向如何攻击这些应用程序。本文主要讨论的是流量分析。 背景分析任何应用程序都向后端组件(web服务器、FTP服务器、数据库服务器等) 发送一些数据。对发送数据的这个过程进行分析是至关重要的,许多应用程序在发送数据时不执行任何加密。虽然对厚客户端进行流量拦截的方法与瘦客户端并不相同,实际上是根据应用程序使用的协议采用不同的拦截技术。 拦截HTTP流量Burpsuite是最好的选择,但是要在proxy listeners下启用invisible proxy。
拦截TCP流量
但是,并不是所有的厚客户端都会使用HTTP协议,burpsuite对于非HTTP协议的流量完全派不上用场。这时候就要使用Echo Mirage。DVTA有一个admin模块,可以创建供我们练习的流量。以admin身份登陆DVTA后,会产生FTP流量。用户名密码:admin/admin123。
登陆成功之后会显示admin界面,admin可以备份一些数据到FTP上,这意味着单击Backup Data to FTP Server会产生一些TCP流量。
单击rules查看规则,默认有了两条规则,可以用来拦截所有的出入流量,我们通过checkbox来启用或者禁用这些规则。
我们要拦截的是DVTA的FTP流量:发往192.168.56.110,端口21。Rule->new新建一条规则如下:
单击ok保存规则,可以看到界面现在多了一条规则。
接下来选择要监听的进程,Process->Inject “DVTA.exe”。
现在单击Backup Data to FTP Server按钮,这样会发送FTP的用户名和密码。下图显示了拦截到的流量显示了用户名是什么。
单击OK放行流量,我们接着看到包含着FTP密码的流量。
我们看到密码是p@ssw0rd,认证成功后会看到ftp服务器执行了一条命令STOR admin.csv。
我们可以在Traffic Log中查看拦截的历史记录。
我们有了ftp凭证,自然要登陆到ftp查看一番。
输入之前获得的凭证(dvta:p@ssw0rd),我们登陆了ftp服务,并查看里面的文件列表。
如果你想上传/下载文件你可以尝试使用FileZillaFTP客户端或任何其他类似的工具。
应该注意的是,我们还可以使用Echo Mirage修改流量。我们将在后面的文章中讨论。
使用Wireshark进行分析
我们也可以使用老牌的wireshark进行分析。记得选对要监听的网卡。
跟之前一样的操作,使用DVTA制造流量。在这里我们要监听的协议是ftp,在过滤器里面填上ftp。
我们可以很清楚的看到客户端连接ftp所使用的用户名密码。搜索字符串admin我们可以看到一些sql语句。
虽然可以查看和分析流量使用Wireshark是一个不错的选择,如果你想修改发送/接收的流量使用Echo Mirage会更好。 结论
本文分析了厚客户端是如何发送身份验证的,虽然大部分程序使用SSL进行身份验证,随后才进行明文的数据传输,但是对流量的分析仍然是有必要的。在下一篇文章中,我们将专门讨论DVTA厚客户端应用程序的数据存储问题。
注:本文参考来源于nfosecinstitute
| 
|小黑屋|手机版|中国白客联盟-BUC
( 赣ICP备15007148号-6 ) 
窥视卡
雷达卡
发表于 2016-9-18 16:36:12
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡