我有一个pcap文件,其中包含对我制作的本地服务器环境的攻击。对本地的攻击是在另一台Kali Linux机器上使用Metasploit Framework进行的,并且使用Wireshark在路由器上使用端口镜像捕获流量。我能够利用系统并获得本地密码。
问题是,如何通过查看pcap文件了解我使用过哪种漏洞?我想提供该档案进行法医分析。
有没有办法在pcap文件中找到漏洞名称?
祝你好运
答案 0 :(得分:2)
经过进一步调查后,我能够弄清楚如何知道攻击中使用了哪种漏洞利用。我设法在我的Kali Linux计算机上配置 SNORT ,一个 IDS系统,并将*.pcap文件传递给它。
Snort会分析*.pcap文件,试图查找符合某些规则的所有流量。如果任何流量行为与任何snort规则匹配,snort将提示您一条消息。
考虑到这一点,我能够在Snort文件夹中匹配规则 exploit.rules 后收集漏洞利用名称。
Snort默认在他的rules文件夹中有很多规则,所以你只需要运行以下命令到*.pcap文件并祈祷匹配;)
snort -r <your-pcap-file>
我希望这对任何试图找到被tcpdump或wireshark捕获的攻击使用过哪个漏洞的人有所帮助。