1. IT分享知识网首页
  2. 未分类

AI来做流量题(一)

老牧童 未分类

AI来做流量题(一)前面 我写过好几篇关于 AI 做流量题的文章 每操作一个 AI 分析流量包的瞬间 我就记录下取得的进步和心得 但始终不满意 浑身不得劲 不理想别扭 我坚信随着 MCP LLM 的进步 会越来越好

大家好,欢迎来到IT知识分享网。

前面,我写过好几篇关于AI做流量题的文章。每操作一个AI分析流量包的瞬间,我就记录下取得的进步和心得,但始终不满意、浑身不得劲,不理想别扭,我坚信随着MCP+LLM的进步,会越来越好。
一、回顾AI分析wireshark流量包文章
智能体分析wireshark流量包
利用Claude3.7分析wireshark流量包
我的WireShark分析实战手册
但我一直不满意,MCP+LLM对pcap/pcapng流量包文件处理不好。这次结合能力验证,让tshark+MCP+LLM又上场实战一番。以15日上午的能力验证的流量题为例,有肯定、有商榷。
二、赛题
1、黑客扫描工具一共发现了多少个端口?
AI来做流量题(一)
我们看AI用到的命令:
tshark -r \”C:\\Users\\Administrator\\Desktop\\题目\\流量分析检材上午.pcapng\” -T fields -e tcp.dstport -Y \”ip.src==192.168.7.4 and tcp.flags.syn==1 and tcp.flags.ack==0\”
扫描模式:
2、黑客开始进行目录扫描攻击的中国标准时间?
AI来做流量题(一)
tshark -r \”C:\\Users\\Administrator\\Desktop\\题目\\流量分析检材上午.pcapng\” -T fields -e frame.time -e http.request.uri -Y \”ip.src==192.168.7.4 and http.request.method==GET\”
从数据可以清楚看出,目录扫描攻击开始于: 2025年2月4日 09:31:23
3、黑客通过错误的DNS服务器探测到了多少个子域名?
AI来做流量题(一)
AI来做流量题(一)
tshark -r \”C:\\Users\\Administrator\\Desktop\\题目\\流量分析检材上午.pcapng\” -Y \”ip.src==192.168.7.4 and http\” -T fields -e http.host | Where-Object {$_ -match \”\\.cs-corp\\.cd$\”} | Sort-Object -Unique
注:这里发现AI可能漏了一些域名:admin/www/auth/ftp/internal/office.cs-corp.cd
4、在上述被发现的子域名中哪一个被黑客进行了攻击?
通过对流量文件的详细分析,我发现 sysmon.cs-corp.cd 是唯一被黑客进行攻击的子域名。
AI来做流量题(一)
AI来做流量题(一)
我们看下它的分析过程:
AI来做流量题(一)
tshark -r \”C:\\Users\\Administrator\\Desktop\\题目\\流量分析检材上午.pcapng\” -Y \”ip.src==192.168.7.4 and http\” -T fields -e http.request.uri | Where-Object {$_ -match \”sysmon\\.cs-corp\\.cd\” -and $_ -match \”fbep\”}
让我(AI)更精确地查找SQL注入攻击:
tshark -r \”C:\\Users\\Administrator\\Desktop\\题目\\流量分析检材上午.pcapng\” -Y \”ip.src==192.168.7.4 and http and http.host contains \\\”sysmon.cs-corp.cd\\\”\” -T fields -e http.request.uri | Where-Object {$_ -match \”UNION\”}
完美!这就是SQL注入攻击的明确证据。让我解码这个URL来看清楚攻击内容:

{

`command`: `python -c \”

import urllib.parse

url = ‘/index.php?fbep=9203%20AND%201%3D1%20UNION%20ALL%20SELECT%201%2CNULL%2C%27%3Cscript%3Ealert%28%22XSS%22%29%3C%2Fscript%3E%27%2Ctable_name%20FROM%20information_schema.tables%20WHERE%202%3E1– %2F%2A%2A%2F%3B%20EXEC%20xp_cmdshell%28%27cat%20..%2F..%2F..%2Fetc%2Fpasswd%27%29%23′

decoded = urllib.parse.unquote(url)

print(‘Decoded SQL injection attack:’)

print(decoded)

\”`,

`timeout_ms`: 10000

}

5、黑客通过什么密码成功登录后台并成功执行反弹shell命令?

AI来做流量题(一)

AI来做流量题(一)

反弹shell命令就是在帧32414。让我查看这个帧的前后,寻找成功登录的线索。也许成功登录使用了不同的参数名称。让我查看反弹shell命令的完整内容:

{

`command`: `python -c \”

import binascii

import urllib.parse

# 完整解码反弹shell命令

hex_data = ‘686f73743dd6bf2bdd2bdd62696ee632b2d6c2b2d702bb6746dd’

print(‘Complete reverse shell command:’)

decoded = binascii.unhexlify(hex_data).decode(‘utf-8’)

url_decoded = urllib.parse.unquote(decoded)

final_decoded = url_decoded.replace(‘+’, ‘ ‘)

print(f’Raw: {decoded}’)

print(f’URL decoded: {url_decoded}’)

print(f’Final: {final_decoded}’)

\”`,

`timeout_ms`: 10000

}

这个反弹shell命令是通过 host 参数传递的,这意味着登录可能已经成功,黑客现在正在后台执行命令。基于我们之前看到的登录尝试时间线,最可能成功的登录凭据是:6203,上面的分析结果。

在感觉到不对后,进行了提示:

AI来做流量题(一)
AI来做流量题(一)
AI来做流量题(一)

AI仍然给出这个结论。

6、黑客在获取服务器权限后使用了工具进行提权,请问该提权工具名是?

AI来做流量题(一)
AI来做流量题(一)

这里感到AI有猜的嫌疑,给出了提示:

AI来做流量题(一)
AI来做流量题(一)

这里AI仍然不相信是pwnkit这个工具,它的依据此流量是windows的,而pwnkit是针对linux系统的。

找到包:tcp.stream eq 2785,跟踪流,

AI来做流量题(一)

想这里可能有个误区:AI对linux系统误判成了windows了,所以对pwnkit不相信。。

7、黑客通过执行powershell命令释放了一个木马,请问该木马是由什么软件生成的二进制代码?

这里AI判断是 msfvenom,

AI来做流量题(一)

然后,给了提示:powershell命令、gunzip、iex

AI来做流量题(一)

AI来做流量题(一)
这里AI的分析显得粗糙了些,对gunzip的字符串没有进行解码出来。
8、黑客对托管在download子域上的下载文件进行了替换,请问后缀为.deb文件中隐藏的恶意文件的命令是什么?
感觉AI做烦了,不做题了,而是给出方法,让自己去流量包去找。
三、总结
可以说,AI+MCP+LLM 分析pcap/pcapng文件,给了很多的惊喜,离前面写的文章才两个月时间吧,就进化到如此地步了,真是一日千里、叹为观止,离退休又进了一步!

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://haidsoft.com/184157.html

(0)
老牧童老牧童
0
上一篇 2025-07-26 08:45
下一篇 2025-07-26 09:10

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注微信