通过分析smb通信来看Brim神器

/ 工具分享 / 0 条评论 / 5349 浏览

本站的所有程序和文章,仅限用于学习和研究目的;不得用于商业或者非法用途,否则,一切后果请用户自负!!

数据包获取

  1. 官方包下载,包比较老

https://wiki.wireshark.org/SampleCaptures#SMB-Locking

  1. 自己抓

Smb协议包分析

我这里直接用官方包https://wiki.wireshark.org/SampleCaptures?action=AttachFile&do=get&target=smbtorture.cap.gz

wireshark分析

用官方的包简单分析一下第一次会话。

第一次通信

image-20210714194505980

1.首先是三次握手

image-20210714194543080

  1. 双方协商加密协议

image-20210714194634890

  1. 进行身份认证。然后客户端提出自己想访问的网络资源

image-20210714194759691

  1. 然后就是一堆查询和传输

image-20210714195119695

  1. 最后就是关闭连接

image-20210714195313714

Brim分析

接下来我们用Brim分析一下smb包,看看brim有多香。

  1. 把包导进来,按时间进行排序,方便对比。

image-20210714195433960

Smb的一堆操作被Brim简化成了三条信息。

image-20210714195545726

  1. 三次握手

可以很清晰的看到这次通信干了啥。

image-20210714195757376

  1. smb认证

image-20210714195936859

  1. 请求对应的网络资源

image-20210714200053297

继续看下一个包

image-20210714200224374

可以看到有文件相关操作

image-20210714200307268

点击右上图标还可以在wireshark中定位到本次会话

image-20210714200434538

如下

image-20210714200557160

Brim真香

本文最后编辑时间为: 2021-07-14

如本文对你有帮助,点击下面广告支持一下吧,创作不易,感谢大佬。

safe6