티스토리 뷰
아래에 구글 드라이브로 공유한 패킷 파일은 악성코드를 다운받는 패킷을 캡쳐한 것이다.
해당 파일에서 추출한 파일은 절대 실행시키지 말자!
https://drive.google.com/file/d/1sd_kytqBFKbRx-ZFFXrnOZuwhBm_pppI/view?usp=sharing
bin.pcapng
drive.google.com
패킷을 wireshark로 열어보면 다음과 같이 열린다.
전체 패킷은 다운로드 과정 외에도 필요없는 패킷이 포함되어 있다. 이 중 다운로드와 관련된 패킷만 보기 위해서
File -> Export Objects -> HTTP로 확인해보면 다음과 같이 여러 페이지와 bin.sh를 받은 파일들을 확인할 수 있다.
이 중 bin.sh를 클릭해보면 전체 패킷 중 파일을 다운로드한 패킷을 하이라이트 해준다.
해당 패킷을 우클릭 Follow -> TCP나 HTTP Stream을 클릭하면 파일을 다운로드 하는 과정의 세그먼트들만을 모아서 보여준다.
아래에 공유한 파일이다.
열어 보면 처음 3개는 handshaking 부분이고 연결이 성립된 후 56.101에서 244.50으로 GET 요청을 보낸것이 확인된다.
그리고 밑으로 쭉 내리면 244.50이 56.101로 HTTP 프로토콜로 전송 완료 200 OK가 보인다.
이 두개 사이의 세그먼트들은 bin.sh 파일을 전송하기엔 패킷최대크기(Maximum Transmission Unit(MTU))보다 크기 때문에 분할(Fragmentation)해 전송에 관련된 패킷이다.
일단 handshaking 과정에서 Maximum Segment Size(MSS)를 1460으로 설정했다. MSS는 패킷 전체 크기 중 헤더 등의 파일 정보와 관련없는 크기는 제외하고 실제 세그먼트의 크기만을 정의한 크기이고, MTU는 말 그대로 헤더 등을 포함한 전송할 수 있는 패킷의 최대 크기이다.
fragment된 패킷들의 최대 length가 1514인걸 보니 MTU는 1514인것 같다.
마지막 부분에 연결을 끊는 부분도 보인다.
'웹 해킹 > 웹 공부' 카테고리의 다른 글
| 논문 / Image-based Neural Network Models for Malware Traffic Classification using PCAP to Picture Conversion (0) | 2023.03.20 |
|---|---|
| [web] user-agent 확인하기 (0) | 2022.11.04 |
| NC(NETCAT) (0) | 2021.07.10 |
| selenium webdriver 옵션 (0) | 2021.07.05 |
| Selenium Webdriver (0) | 2021.07.05 |
- Total
- Today
- Yesterday
- 차량 네트워크
- AVB
- PCA
- 논문 잘 쓰는법
- porks
- 회귀
- Ethernet
- 크로스 엔트로피
- 이상탐지
- automotive
- 로지스틱회귀
- SVM
- 케라스
- Python
- HTML
- many-to-many
- AE
- SOME/IP
- problem statement
- CAN-FD
- 딥러닝
- many-to-one
- 머신러닝
- 단순선형회귀
- cuckoo
- automotive ethernet
- AVTP
- one-to-many
- json2html
- 차량용 이더넷
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |