​介绍

关键技术点1：文件读取漏洞流量特征

在分析文件读取漏洞流量时，一个关键的技术点是识别特定的文件访问模式。攻击者通常尝试读取敏感文件，如配置文件、密码文件或数据库备份。这些请求往往通过标准的应用层协议发起，如HTTP、FTP或SMB。在Wireshark中，可以通过过滤这些协议并查找包含特定文件路径或命令的HTTP GET请求、FTP命令或SMB访问来识别可疑活动。例如，HTTP请求中包含类似“/etc/passwd”或“/etc/shadow”的路径可能是文件读取漏洞的迹象。通过详细检查这些请求的头部信息、响应状态码和内容，可以进一步确认是否存在文件读取漏洞。

关键技术点2：异常流量模式检测

另一个关键点是检测异常流量模式，这些模式可能表明文件读取漏洞的存在。在Wireshark中，可以关注异常的请求频率、数据大小和传输时间。例如，短时间内大量对非标准或敏感文件的访问可能是攻击者尝试读取敏感信息的迹象。此外，异常的数据包大小或速率也可能指示自动化工具或脚本正在尝试利用文件读取漏洞。通过使用Wireshark的统计功能，如“协议分布”和“端口号”，可以识别出异常的流量模式。这些分析有助于发现潜在的攻击行为，并及时采取措施保护系统安全。

关键技术点3：协议深度分析

在分析文件读取漏洞流量时，深度分析特定协议的细节也是至关重要的。例如，在HTTP协议中，可以检查请求的头部信息，如“User-Agent”、“Referer”和“Authorization”，以识别异常或伪造的请求。在FTP协议中，可以关注命令序列，如“LIST”、“RETR”或“TYPE”，以及响应代码，如“550 Not Found”或“553 Permission Denied”，这些可能指示文件访问尝试。在Wireshark中，可以使用“跟随数据包”功能深入查看每个字段的详细信息，从而更准确地识别漏洞利用行为。通过这种深入分析，可以更有效地发现和阻止文件读取漏洞攻击。

流程

文件读取漏洞流量分析

写一个php文件读取代码

进行攻击

查看wireshark分析流量包

有着明显的../../目录穿越和绝对路径，请求一些敏感文件

阅读原文：原文链接