Ermitteln Sie, welcher Exploit in einer pcap-Datei des Angriffs verwendet wurde

Question

Ich habe eine pcap-Datei, die den Angriff auf eine lokale Serverumgebung enthält, die ich gemacht habe. Der Angriff auf das lokale System wurde mithilfe des Metasploit-Frameworks auf einem anderen Kali-Linux-Computer durchgeführt, und der Datenverkehr wurde mit Wireshark mithilfe der Portspiegelung auf dem Router erfasst. Ich konnte das System ausnutzen und das lokale Passwort bekommen.

Die Frage ist, woher weiß ich, welchen Exploit ich nur verwendet habe, indem ich auf die pcap-Datei schaute? Ich möchte diese Datei für die forensische Analyse geben.

Gibt es eine Möglichkeit, den Exploit-Namen in der pcap-Datei zu finden?

Mit freundlichen Grüßen

Answer 1

Nach weiteren Untersuchungen konnte ich es, herauszufinden, wie zu wissen, welche Exploit auf dem Angriff eingesetzt. Ich habe es geschafft, SNORT, ein IDS-System, auf meinem Kali Linux-Rechner zu konfigurieren und die Datei *.pcap an ihn zu übergeben.

Snort wird analysieren, dass *.pcap Datei versucht, den gesamten Verkehr zu finden, der für bestimmte Regeln übereinstimmt. Wenn irgendein Verkehrsverhalten mit irgendwelchen Snort-Regeln übereinstimmt, wird snort Sie mit einer Nachricht auffordern.

Dies berücksichtigend, konnte ich Exploit-Namen nach einer Übereinstimmung der Regel exploit.rules in Snort-Ordner zu sammeln. Snort hat viele Regeln standardmäßig auf seinen Regeln Ordner, so brauchen Sie nur den folgenden Befehl an die *.pcap Datei und beten für ein Spiel laufen zu lassen;)

snort -r <your-pcap-file> 

hoffe, dass ich diese Hilfe für jeden, der an versucht, Finde heraus, welcher Exploit für einen Angriff verwendet wurde, der von tcpdump oder wireshark erfasst wurde.