AI来做流量题(一)
作者:微信文章前面,我写过好几篇关于AI做流量题的文章。每操作一个AI分析流量包的瞬间,我就记录下取得的进步和心得,但始终不满意、浑身不得劲,不理想别扭,我坚信随着MCP+LLM的进步,会越来越好。一、回顾AI分析wireshark流量包文章《智能体分析wireshark流量包》、《利用Claude3.7分析wireshark流量包》、《我的WireShark分析实战手册》但我一直不满意,MCP+LLM对pcap/pcapng流量包文件处理不好。这次结合能力验证,让tshark+MCP+LLM又上场实战一番。以15日上午的能力验证的流量题为例,有肯定、有商榷。二、赛题1、黑客扫描工具一共发现了多少个端口?
我们看AI用到的命令:tshark -r \"C:\\Users\\Administrator\\Desktop\\题目\\流量分析检材上午.pcapng\" -T fields -e tcp.dstport -Y \"ip.src==192.168.7.4 and tcp.flags.syn==1 and tcp.flags.ack==0\" 扫描模式:
995个端口只被扫描了一次(典型的端口扫描行为)80端口被尝试连接1590次443端口被尝试连接319次53端口被尝试连接2次25端口被尝试连接2次5555端口被尝试连接2次
2、黑客开始进行目录扫描攻击的中国标准时间?
tshark -r \"C:\\Users\\Administrator\\Desktop\\题目\\流量分析检材上午.pcapng\" -T fields -e frame.time -e http.request.uri -Y \"ip.src==192.168.7.4 and http.request.method==GET\"从数据可以清楚看出,目录扫描攻击开始于:2025年2月4日 09:31:23
3、黑客通过错误的DNS服务器探测到了多少个子域名?
tshark -r \"C:\\Users\\Administrator\\Desktop\\题目\\流量分析检材上午.pcapng\" -Y \"ip.src==192.168.7.4 and http\" -T fields -e http.host | Where-Object {$_ -match \"\\.cs-corp\\.cd$\"} | Sort-Object -Unique注:这里发现AI可能漏了一些域名:admin/www/auth/ftp/internal/office.cs-corp.cd4、在上述被发现的子域名中哪一个被黑客进行了攻击?通过对流量文件的详细分析,我发现sysmon.cs-corp.cd是唯一被黑客进行攻击的子域名。
我们看下它的分析过程:
tshark -r \"C:\\Users\\Administrator\\Desktop\\题目\\流量分析检材上午.pcapng\" -Y \"ip.src==192.168.7.4 and http\" -T fields -e http.request.uri | Where-Object {$_ -match \"sysmon\\.cs-corp\\.cd\" -and $_ -match \"fbep\"}让我(AI)更精确地查找SQL注入攻击:tshark -r \"C:\\Users\\Administrator\\Desktop\\题目\\流量分析检材上午.pcapng\" -Y \"ip.src==192.168.7.4 and http and http.host contains \\\"sysmon.cs-corp.cd\\\"\" -T fields -e http.request.uri | Where-Object {$_ -match \"UNION\"}完美!这就是SQL注入攻击的明确证据。让我解码这个URL来看清楚攻击内容:
{
`command`: `python -c \"
import urllib.parse
url = '/index.php?fbep=9203%20AND%201%3D1%20UNION%20ALL%20SELECT%201%2CNULL%2C%27%3Cscript%3Ealert%28%22XSS%22%29%3C%2Fscript%3E%27%2Ctable_name%20FROM%20information_schema.tables%20WHERE%202%3E1--%2F%2A%2A%2F%3B%20EXEC%20xp_cmdshell%28%27cat%20..%2F..%2F..%2Fetc%2Fpasswd%27%29%23'
decoded = urllib.parse.unquote(url)
print('Decoded SQL injection attack:')
print(decoded)
\"`,
`timeout_ms`: 10000
}
5、黑客通过什么密码成功登录后台并成功执行反弹shell命令?
反弹shell命令就是在帧32414。让我查看这个帧的前后,寻找成功登录的线索。也许成功登录使用了不同的参数名称。让我查看反弹shell命令的完整内容:
{
`command`: `python -c \"
import binascii
import urllib.parse
# 完整解码反弹shell命令
hex_data = '686f73743d2537436d6b6669666f2b253246746d702532466d79706970652533426361742b253246746d702532466d797069706525374325324662696e253246626173682537436e632b2d6c2b2d702b353535352b253345253246746d702532466d7970697065'
print('Complete reverse shell command:')
decoded = binascii.unhexlify(hex_data).decode('utf-8')
url_decoded = urllib.parse.unquote(decoded)
final_decoded = url_decoded.replace('+', ' ')
print(f'Raw: {decoded}')
print(f'URL decoded: {url_decoded}')
print(f'Final: {final_decoded}')
\"`,
`timeout_ms`: 10000
}
这个反弹shell命令是通过host参数传递的,这意味着登录可能已经成功,黑客现在正在后台执行命令。基于我们之前看到的登录尝试时间线,最可能成功的登录凭据是:6203,上面的分析结果。
在感觉到不对后,作者进行了提示:
AI仍然给出这个结论。
6、黑客在获取服务器权限后使用了工具进行提权,请问该提权工具名是?
这里感到AI有猜的嫌疑,给出了提示:
这里AI仍然不相信是pwnkit这个工具,它的依据此流量是windows的,而pwnkit是针对linux系统的。
找到包:tcp.stream eq 2785,跟踪流,
我想这里可能有个误区:AI对linux系统误判成了windows了,所以对pwnkit不相信。。
7、黑客通过执行powershell命令释放了一个木马,请问该木马是由什么软件生成的二进制代码?
这里AI判断是 msfvenom,
然后,我给了提示:powershell命令、gunzip、iex
这里AI的分析显得粗糙了些,对gunzip的字符串没有进行解码出来。
8、黑客对托管在download子域上的下载文件进行了替换,请问后缀为.deb文件中隐藏的恶意文件的命令是什么?感觉AI做烦了,不做题了,而是给出方法,让我自己去流量包去找。
三、总结可以说,AI+MCP+LLM 分析pcap/pcapng文件,给了我很多的惊喜,离我前面写的文章才两个月时间吧,就进化到如此地步了,真是一日千里、叹为观止,我离退休又进了一步!
页:
[1]