wireshark流量分析学习

最新推荐文章于 2024-06-19 15:59:02 发布
最新推荐文章于 2024-06-19 15:59:02 发布
阅读量1.4k 收藏 27
点赞数 18
文章标签: wireshark 学习 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80366980/article/details/136706688
版权
本文详细描述了通过Wireshark分析网络流量,追踪加密数据、十六进制编码和解码过程,解决多个场景下的密码、文件和旗标寻找问题,展示了在网络安全竞赛中常见的技术应用。
摘要由CSDN通过智能技术生成

xxx

前言

仅供个人学习,如有冒犯请尽快联系

记录一些流量分析的wp

00x0

key.pcapng

直接ctrl+f查找flag

在这里插入图片描述

for1(题目提示pwn).pcapng

先搜flag,没有结果

根据提示搜pwn,找到flag

在这里插入图片描述

64da5a4a1e024d198dfa307299965b6d.pcapng

直接搜flag没找到,udp请求也没统计出什么东西,我们用flag十六进制编码后的结果查询

在这里插入图片描述

发现一个十六进制编码

在这里插入图片描述

追踪流,解码

在这里插入图片描述

attack_log_analysis.pcap

搜索flag{的十六进制编码,发现一个十六进制编码

在这里插入图片描述

解码,得到一个flag

在这里插入图片描述

可恶的黑客.pcapng

翻数据流,翻到unicode加密的语句

在这里插入图片描述

输入flag转成的unicode字符串

在这里插入图片描述

查找,显示未找到,退一步,插f

在这里插入图片描述

找到语句

在这里插入图片描述

追踪流,解码,找到flag

在这里插入图片描述

caidao.pcapng

追踪一个tcp流,发现flag.tar.gz文件,第二个流发现一句话木马,第三个流发现一串意味不明的文件有X@Y
X@Y为请求体中执行结果的响应

在这里插入图片描述

在这里插入图片描述

追踪该字符串,显示分组字节,去掉头尾的X@Y,再解码为压缩包的形式

在这里插入图片描述

找到flag

在这里插入图片描述

test.pcap

追踪http流,发现执行语句
多翻几个http流,发现一个一句话木马以及一个压缩文件格式的数据流

在这里插入图片描述
在这里插入图片描述

这边我们追踪这个数据流,用老办法去头去尾,用压缩文件格式显示,发现flag

在这里插入图片描述

liuliang.pcap

追踪http流,翻包,发现超长字符串,显示为分组字节,用base64解码,z1解密后显示为下图,发现路径下有一个zip文件

在这里插入图片描述

将z2保存为zip格式

在这里插入图片描述

直接开是开不了的

我们先用notepad打开,将hex转为ascii码,再保存,再尝试打开

在这里插入图片描述

找到flag

在这里插入图片描述

misc4.pcap

题目提示“一个特殊的php文件名”
先追踪http流,发现一个文件

在这里插入图片描述

查看他的返回包,找到flag在这里插入图片描述

telnet.pcap

提示为ascii的退格

先追踪流
翻了http流,没发现什么有用的信息,追踪tcp流,发现一个特殊的数据流

在这里插入图片描述
观察后得出为登录界面

发送包和返回包组合在了一起

更改为只显示发送包

在这里插入图片描述
发现flag,但有几个特殊的字符

在这里插入图片描述

更改显示为hex转储,锁定未知字符位置

在这里插入图片描述

对比ascii字典,发现是退格

在这里插入图片描述

那么flag就是

在这里插入图片描述

2004225e9ff0cd86ee4.pcapng

蓝牙协议
蓝牙协议一般与OBEX协议有关
所以我们直接统计–>协议分级,查找有无OBEX协议,找到OBEX协议
再查找跟进OBEX

在这里插入图片描述
找到一个这样的数据流

在这里插入图片描述
是一个.7z的压缩包

输出分组字节流为.7z压缩包,打开是一个txt文件,但是需要密码,提示就是蓝牙的PIN码

所以我们直接ctrl+f查找PIN

当我们查找分组详情时,发现一个reply的包,找到PIN码

在这里插入图片描述

输入PIN码,得到flag

在这里插入图片描述

流量中的线索.pcapng

先统计–>协议分级,发现http协议占比较大没什么有用的信息

再统计–>http–>请求查看http请求下有哪些东西,发现一个fenxi.php

没办法直接查找,我们记住名字,ctrl+f查找fenxi.php

这边找到四个包与fenxi.php有关,我们直接看返回的包

直接找最具有文件特征的字符串

在这里插入图片描述

base解码后发现JFIF,直接显示为图像找到flag

在这里插入图片描述

666666.pcapng

菜刀流量

也是先统计http请求下有什么

在这里插入图片描述

发现一个1.php文件

追踪查找,发现一个文件

在这里插入图片描述

里面带pk,导出为zip格式,得到一个flag.txt,但是需要密码

在这里插入图片描述

继续翻http流量

翻到一个很长的字符串,开头是FFD8FFE0,正好是jpg开头的十六进制

在这里插入图片描述

导出为txt,打开后将‘z2=’删除,再用notepad打开,转换为ascii码

在这里插入图片描述
保存后修改格式为jpg,打开

在这里插入图片描述

输入密码

在这里插入图片描述

0ebb974edd304dc79aac8339b14b877e.pcap

工业协议分析

翻统计没翻出什么有用的信息,找来找去也都是些没用的数据流

所以我们直接用字节长排序,找最长的数据流,果然找到了一个文件

在这里插入图片描述

直接打开,显示为base64加密的png文件

在这里插入图片描述

所以我们直接保存为png文件,然后用notepad文件打开,全选然后用base64解码

在这里插入图片描述

得到下图

在这里插入图片描述

关闭后重新打开,删去PNG前一个逗号前的全部字符,保存

在这里插入图片描述
在这里插入图片描述

得到flag

在这里插入图片描述

dianli_jbctf_MISC_T10075_20150707_wireshark.pcap

管理员密码即flag

我们直接找http流量,并且找password

在这里插入图片描述

CTF.pcapng
getshell

提示1040和4444端口

先看协议,没什么信息,但是tcp流很多,随便翻翻,太多了,直接字符长排序,然后看最长的,翻几个发现base64加密的字符串

在这里插入图片描述

解码,得到flag

在这里插入图片描述

荆棘鸟lm
关注
  • 18
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
流量分析wireshark
qq_53106085的博客
10-22 1649
wireshark过滤器表达式 协议过滤 TCP:只显示TCP协议的数据流 HTTP:只显示HTTP协议的数据流 ICMP:只显示ICMP协议的数据流 ARP:只显示ARP协议的数据流 DNS:显示DNS协议的数据流 IP过滤 ip.addr = 192.168.116.138,只显示ip为192.168.116.138有关的数据流 ip.src = 192.168.116.138,只显示源IP地址为192.168.116.138的数据流
Wireshark分析流量1
JoJo
11-26 1059
大致浏览,发现是不同地址在访问192.168.10.5:80,设置过滤看看 依据上图可知,是大量tcp,少量http,从少的开始 发现是不同的ip在用get在向服务器上传图片,量有点大,先把源ip设置一个 如上图,没有发现什么异常,get请求后没有参数,换个源ip 没啥异常,信息太多,再来个过滤条件,post 如上图,用post上传了图片,还有点大,而且看到了熟悉的image/jpeg,MIME限制扩展名绕过,打开看看 由此可知,攻击者使用了MIME限制扩展名绕过上传了图片马 ...
flag.pcapng解析.docx
01-13
数据分析取证;流量分析
wirehark数据分析与取证flag.pcap
热门推荐
Aluxian_的博客
04-18 1万+
什么是wireshark?wiresharekflag.pcap数据包数据包下载 请私信博主 wiresharek Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是检索取网络封包,并同时显示出最详细的网络封包数据。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 wireshark的介绍: 假设您是一名网络安全工程师,需要对某公司的公司进行数据分析,分析黑客获取电脑权限进行的操作,我们本章主要以分析案例数据包进行分析关键数据。 flag.p
流量分析-Wireshark
最新发布
2401_85028883的博客
06-19 1382
工具栏主工具栏包含多个用于数据包嗅探和处理的菜单和快捷方式,包括过滤、排序、汇总、导出和合并。显示过滤栏主要查询和过滤部分。最近的文件最近调查的文件列表。您可以通过双击调用列出的文件。捕获过滤器和接口捕获过滤器和可用的嗅探点(网络接口)。网络接口是计算机和网络之间的连接点。软件连接(例如 lo、eth0 和 ens33)启用网络硬件。状态栏工具状态、配置文件和数字数据包信息。数据包列表面板每个数据包的摘要(源地址和目标地址、协议和数据包信息)。您可以单击列表以选择一个数据包以进行进一步调查。
强国杯半决赛东部赛区部分wp
m0_63525319的博客
10-24 2184
本次成绩不错,成功进入决赛,接下来继续努力!
CTF 流量包相关-流量分析(1)
qq_56815564的博客
04-28 1万+
前面的flag不论是直接给你明文,还是有一定的编码,都是比较简单的,像这些十成甚至九成都会是签到题,所以了解一下知道有这种情况就好,重点不再这边另外这里还是给出一下风佬的脚本吧,虽然我感觉用到的几率应该不会很大,如果要用的话,那个破空查flag的工具应该会比较好用,下载的话,风佬的git里面应该有,这里就不给了。
B.pcap解析
qq_59656429的博客
12-04 1033
分析B.pcapng数据包,找到hacker通过一句话木马从服务器上下载的文件,并将文件的内容作为flag提交.通过分析B.pcapng,找到黑客通过一句话木马上传了什么文件,将文件名作为flag提交.通过分析B.pcapng,找到黑客扫描到的主机的ip是多少将该ip作为flag提交。分析B.pcapng,找到数据库里flag最后一个字符.将该字符作为flag提交.通过分析B.pacpng包找到服务器内核版本,将该版本作为flag提交.继续分析B.pcapng数据包,找到黑客扫描网段的命令.
WireShark 网络流量分析抓包工具
09-06
Wireshark是一款强大的网络流量分析工具,被广泛应用于网络安全、故障排查和性能优化等领域。它以前的名字是Ethereal,由于其开源、免费且跨平台的特性,深受全球IT专业人士的喜爱。下面将详细介绍Wireshark的功能、...
Suricata + Wireshark离线流量日志分析
10-06
在离线流量分析场景下,Wireshark可以打开由Suricata或其他数据包捕获工具生成的.pcap文件,进一步进行深度分析。用户可以通过过滤器快速定位感兴趣的数据包,查看特定主机或服务的通信,分析异常行为,或者检查特定...
wireshark数据分析
04-04
Wireshark中,你可以过滤出FTP流量,以便查看和分析。输入"ftp"或"port 21"到过滤器栏,即可只显示与FTP相关的数据包。通过这些数据包,你可以查看FTP命令交互,如USER、PASS、LIST等,分析文件上传和下载的过程。...
Wireshark数据包分析实战(笔记) pdf .zip
03-26
四、流量分析和图形化功能 五、通用底层网络协议 六、常见高层网络协议 七、基础的现实世界场景 八、让网络不再卡 九、安全领域的数据包分析 十、无线网络数据包分析 附录 A:其他数据包分析工具 附录 B:数据包分析...
Wireshark一站式学习
01-10
### Wireshark一站式学习知识点详解 ...通过以上内容的学习,不仅可以掌握Wireshark的基本使用方法,还能深入了解如何利用Wireshark来观察和分析常见的网络协议,并有效地诊断和解决网络性能问题。
wireshark流量分析网络安全
夜思红尘的博客
04-18 3264
这是关于一篇wireshark分析数据包的文章,主要是网络安全里的应用,讲述了wireshark的使用方法,主要使用的事wrieshark里的追踪流,欢迎大家学习借鉴!
Wireshark之攻击流量分析
qq_52486507的博客
03-10 3440
7.继续查看数据包文件logs.pacapng将恶意用户下载的文件里面的内容作为Flag值(形式:[文件内容])提交。5.继续查看数据包文件logs.pacapng分析出恶意用户连接一句话木马的密码是什么,并将一句话密码作为Flag。3.继续查看数据包文件logs.pacapng分析出恶意用户读取服务器的文件名是什么,并将该文件名作为Flag值。4.继续查看数据包文件logs.pacapng分析出恶意用户写入一句话木马的路径是什么,并将该路径作为Flag值。所以Flag的值:Flag:[flag.zip]
简单流量分析CTF(wireshark)
wcl20010的博客
05-10 1万+
没做过流量分析的题目,也不怎么了解怎么流量分析,准备系统的理一下思路。。 这有第一个小题目。通过几个题目来了解wireshark的使用以及流量分析吧。。 追踪流量 bugku的杂项题目。 链接:https://pan.baidu.com/s/1OnO7OXIQB8ztl8J2q48jBA 提取码:1111 这是一个pacp文件 是一种常用的数据报存储文件,存储了一段数据包。 打开wireshark直接文件拖进去就可以打开了。 然后右键一个数据包选择追踪流 点开就得到了fla...
wireshark抓包,分析出PNG后解析
weixin_34363171的博客
03-31 4726
1. 抓包 2. 转成hex二进制流 3. 将二进制流转成base64位,通过在线工具: http://tomeko.net/online_tools/hex_to_base64.php?lang=en iVBORw0KGgoAAAANSUhEUgAAAMAAAABeCAYAAAB1sBs0AAAKpWlDQ1BJQ0MgUHJvZmlsZQAASImVlwdQ...
BUUCTF Misc 部分(三)
葜。的博客
01-12 1607
九连环 下载附件 通过foremost分离出一个压缩文件,里面包含一张图片和另一个压缩文件,打开图片显示文件头损坏,用winhex打开,把08改成09保存便可以打开图片。 binwalk和foremost都没东西。看到文件名显示“已合并”,猜测steghide,但是没说密码, 空密码直接分离出ko.txt,里面就是另一个压缩包密码,打开即得flag。 面具下的flag 下载附件 foremost分...
[CTF]wireshark流量分析-flag明文
Luistin的博客
01-11 1287
1.打开文件 ctrl+F搜索分组字节流的字符串:flag{3.右键flag,点击显示出分组字节可复制粘贴。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值