我有一个 pcap 文件,其中包含对我制作的本地服务器环境的攻击。对本地的攻击是在另一台 Kali Linux 机器上使用 Metasploit 框架进行的,并使用 Wireshark 使用路由器上的端口镜像捕获流量。我能够利用该系统并获得本地密码。
问题是,我如何通过查看 pcap 文件知道我使用了哪个漏洞?我想将该文件提供给法医分析。
有没有办法在 pcap 文件中找到漏洞利用名称?
此致
问问题
2908 次
1 回答
2
经过进一步调查,我能够弄清楚如何知道攻击中使用了哪个漏洞。我设法在我的 Kali Linux 机器上配置SNORT,一个IDS 系统*.pcap,并将文件传递给它。
Snort 将分析该*.pcap文件,试图找到与某些规则匹配的所有流量。如果任何流量行为与任何 snort 规则匹配,snort 将提示您一条消息。
考虑到这一点,我能够在 Snort 文件夹中的规则exploit.rules匹配后收集漏洞利用名称。Snort 默认在他的规则文件夹中有很多规则,所以你只需要对*.pcap文件运行以下命令并祈祷匹配;)
snort -r <your-pcap-file>
我希望这对任何试图找出哪个漏洞被用于 tcpdump 或 wireshark 捕获的攻击的人有所帮助。
于 2016-06-15T16:34:22.503 回答