Articles published by coco
- Home
- coco
心脏滴血漏洞复现及流量分析
0x01 心脏滴血漏洞影响版本1、openssl版本在1.0.1-1.0.1f(包含1.0.1f)以及 1.0.2-beta2、openssl开启心跳机制0x02 心脏滴血漏洞原理TLS心跳指的是用户向服务器发送数据包,服务器返回一个相同的数据包以确定彼此在线,以支持持续通信功能。用户向服务器发送的心跳数据中用两个字节表明有效负载数据长度,而服务器端OpenSSL将根据这个有效负载长度构造一...
https协议简要分析与解密
0x01 HTTPS协议HTTPS协议本质上是HTTP协议+TLS/SSL协议,http工作在应用层,应用层把明文的数据转给工作在传输层的TLS/SSL,由TLS/SSL加密后再送往TCP套接字。下面通过wireshark抓包详细了解TLS协议工作原理。0x02 TLS协议1、TCP三次握手客户端与服务端进行TCP三次握手2、客户端发送client hello消息中主要包含(1) 按优先顺序...
SMTP协议分析及流量还原
0x01 SMTP协议smtp协议是简单邮件传送协议,它工作在C/S模式下,用来提供发送邮件的服务。那么为什么我们现在发送邮件可以通过登录web的方式实现?因为我们通过浏览器提交身份认证和发送邮件的数据给qq邮箱或网易邮箱的web服务器后,web服务器会将数据转给其邮件服务器,让邮件服务器完成邮件投递工作,这就是为什么我们现在可以不用安装邮件客户端如foxmial、outlook仍然能发送邮...
常见webshell管理工具流量特征值分析
拜读了[email protected]四维创智大佬关于hw的总结文章复盘攻防,再聊安全,针对他谈到的几种webshell管理工具,菜刀、蚁剑、冰蝎,我觉得有必要做一些微小的研究,识别webshell管理工具的流量特征远比识别webshell要容易得多,因为webshell千变万化,但是市场主流的webshell管理工具就只有几款,那些不自造轮子的初级黑客很大概率使用这些工具进行攻击。一、2014版菜刀1、连...
把网络抓包的数据流还原为原始文件
使用wireshark或者科来网络分析抓到数据包后,由于原始文件传输过程中会转换成二进制流,抓包工具会把二进制流转换成ASCII码,而ASCII只支持127个字符,其他的字符如果被转换成ASCII将会显示为乱码。因此需要将数据流还原成文件以供阅读,其中关键在于识别二进制/ASCII码文件的头和尾。测试工具:wireshark、科来网络分析软件:notepad++情况一 get方法请求图片1、...