当前位置：首页 > news >正文

别只盯着POST过滤！用Wireshark分析‘菜刀’流量时，这3个隐藏信息点更关键

news 2026/5/25 15:22:45

别只盯着POST过滤！用Wireshark分析‘菜刀’流量时，这3个隐藏信息点更关键

在网络安全攻防演练和CTF比赛中，WebShell流量分析一直是技术难点。许多中级安全工程师习惯性地将分析重点放在HTTP POST请求上，认为这是攻击流量的"黄金指标"。但真实场景中，攻击者早已进化——他们开始将关键信息隐藏在协议层、数据包上下文甚至看似无关的二进制流中。本文将揭示三个被多数人忽视的关键分析维度，帮助你在下一次遇到"菜刀"类流量时，快速定位真正有价值的信息点。

1. 异常编码与二进制特征：超越HTTP方法过滤

Wireshark的http.request.method==POST过滤命令几乎是所有分析师的起点，但这恰恰可能让你错过最重要的线索。去年某次企业红队演练中，攻击者将WebShell通信伪装成普通图片上传流量，仅通过POST过滤完全无法发现异常。

关键技巧：

16进制字符串的深度检查
当发现数据包中出现异常长度的16进制字符串时（如连续超过200字节），立即执行以下操作：
```
# 使用xxd工具快速转换16进制到二进制 echo "FFD8FFE000104A4649460001..." | xxd -r -p > suspicious.jpg
```
某次实际案例显示，攻击者在16进制流中嵌入了JPEG文件头和加密的WebShell配置信息。
协议层元数据分析
下表对比了正常Web请求与隐藏WebShell流量的关键差异：
特征项正常流量隐藏WebShell流量
Content-Type 明确类型(text/html等) application/octet-stream
数据包大小相对均匀突发性大包(>5KB)
编码方式标准URL编码 Base64/16进制混合

特征项	正常流量	隐藏WebShell流量
Content-Type	明确类型(text/html等)	application/octet-stream
数据包大小	相对均匀	突发性大包(>5KB)
编码方式	标准URL编码	Base64/16进制混合

注意：现代WebShell常使用分块传输编码(chunked transfer encoding)来规避检测，需要特别检查HTTP头部的Transfer-Encoding字段。

2. 跨协议关联分析：发现隐藏的文件传输

高级攻击者往往采用"化整为零"策略，将关键数据分散在多个协议层。在某次金融行业攻防演练中，防御方直到第三天才发现攻击者通过DNS隧道外传数据，而该流量在Wireshark中显示为完全正常的DNS查询。

实战步骤：

识别文件特征签名
使用Wireshark的"导出对象"功能时，务必检查以下关键文件头：
- ZIP压缩包：PK\x03\x04（50 4B 03 04）
- JPEG图片：FF D8 FF
- PNG图片：\x89PNG
上下文关联技巧
当发现疑似文件片段时，立即执行：
```
# 快速验证是否为有效文件片段 with open('fragment.dat', 'rb') as f: print(f.read(4)) # 打印前4字节验证文件头
```
在某次CTF比赛中，选手需要将分散在ICMP和HTTP协议中的多个PNG片段重组，才能获得完整flag。
使用tshark进行深度提取
对于复杂的混合流量，命令行工具更高效：
```
tshark -r attack.pcapng -Y "tcp contains 'PK\x03\x04'" --export-objects "zip,./output"
```

3. 时序与上下文关联：破解攻击者的"拼图游戏"

现代WebShell通信越来越倾向于使用多阶段交付策略。某次真实攻击中，攻击者将密码隐藏在早期HTTP响应的图片EXIF信息中，而该密码用于解密后续HTTPS通道传输的加密压缩包。

高级分析框架：

建立事件时间线
使用Wireshark的"Conversation"功能梳理各流之间的时序关系，特别注意：
- 先小包后大包的传输模式
- 相同源/目的IP但不同协议的数据流
- 异常短暂（<1秒）的TCP连接
关键数据关联表
以下是一个实际案例中的数据关联示例：
数据包编号协议关键内容后续用途
#142 HTTP 图片中的Th1s_1s_p4sswd 解压#305的ZIP
#305 TCP PK头+加密压缩包需#142密码才能解压
#418 DNS 异常的TXT记录实际为C2通信

数据包编号	协议	关键内容	后续用途
#142	HTTP	图片中的Th1s_1s_p4sswd	解压#305的ZIP
#305	TCP	PK头+加密压缩包	需#142密码才能解压
#418	DNS	异常的TXT记录	实际为C2通信

使用Bash管道快速分析
组合多种工具提升效率：

tshark -r traffic.pcap -T fields -e data | grep -oE '[0-9a-fA-F]{200,}' | xxd -r -p | strings -n 8

4. 实战案例：从零还原完整攻击链

让我们模拟一个综合性的CTF题目场景，演示如何应用上述技巧：

初始过滤
虽然题目提示关注POST请求，但我们首先执行更全面的过滤：
```
http or tcp.len > 1000 or udp.length > 500
```

发现异常流
在#187数据包发现异常的16进制流，提取后识别出是加密的ZIP文件：

# 使用Python自动提取和识别 import binascii with open('p187.data', 'r') as f: hex_data = f.read().replace(' ', '') if hex_data.startswith('504b0304'): print("Found ZIP file!")

密码破解
在#92数据包的JPEG图片EXIF中找到密码提示：
```
exiftool suspicious.jpg | grep -i comment
```
完整还原
最终使用找到的密码解压出flag文件：
```
unzip -P 'Th1s_1s_p4sswd_!!!' hidden.zip
```