Existe uma maneira de procurar com segurança pela execução da linha de comando no Wireshark?

Navegue suas respostas
0
Vamos supor que eu queira inspecionar a seção Bytes do Pacote e procurar a execução do comando shell interno - especificamente, o comando " dir " em uma máquina Windows. Do CLI de um atacante remoto, vou assumir que se parece com isso:

C:\Windows\System32>dir

Suponha que eu decida que uma maneira de fazer isso é pesquisar " >dir " dentro do conteúdo. Bem, eu examinei arquivos pcap de amostra no Wireshark e percebi que raramente o tráfego de entrada aparece para o olho humano tão limpo quanto isso. Em vez disso, vejo algo como: 

.......P .|/u~+..
..P...G. ..dir..
Volume i n drive
C has no  label..
. Volume  Serial

Isso basicamente quebraria meu método ... não há nenhum caractere " > " precedendo o comando " dir ". Sem essa restrição de pesquisa, corro o risco de pegar todos os tipos de falsos positivos, como:

C:\MyDocuments\Indirect... C:\MyDocuments\MyDirtyPix... (tem que ter algum humor aqui;)

Este é um problema que posso superar? Alguma sugestão?

    
por PurpleDragon 03.03.2016 / 22:05

1 resposta

1

Não há uma pesquisa simples no Wire Shark para encontrar comandos específicos como esse. A razão é que os usuários podem inserir sequências de bytes que correspondem a um comando sem realmente enviar tudo de uma vez. Por exemplo, di^Hir , onde ^H é um backspace, será interpretado como dir , assim como dr←i , em que é a sequência de escape da seta para a esquerda. Eles poderiam torná-lo ainda mais complicado, mas o ponto é que você simplesmente não tem uma maneira fácil de encontrar até três simples caracteres em ordem ao longo do fio. Métodos corretos, mas complicados, provavelmente incluiriam conexão com chamadas do sistema para ver quais pastas / unidades / etc são acessadas e assim por diante.

    
por 03.03.2016 / 22:41

Tags

Altere o tamanho da fonte / janela para o terminal do Visual Studio Reinstalação planejada do Windows 10 sem perder a ativação