Wireshark初识
1.筛选ip
(1)、方法一
ip.src == 源ip地址
ip.dst == 目的ip地址
(2)、方法二
选中一个源IP是筛选条件的数据包,找到Internet Protocol Version 4下的Source/Destination字段。右击Source/Destination字段,再选择作为过滤器应用 –->最后点击选中,就可筛选出该源IP的所有包了
2.mac地址筛选
eth.dst ==A0:00:00:04:C5:84 筛选目标mac地址
eth.addr==A0:00:00:04:C5:84 筛选MAC地址
3.端口筛选
tcp.dstport == 80 筛选tcp协议的目标端口为80的流量包
tcp.srcport == 80 筛选tcp协议的源端口为80的流量包
udp.srcport == 80 筛选udp协议的源端口为80的流量包
4.协议筛选
tcp 筛选协议为tcp的流量包
udp 筛选协议为udp的流量包
arp/icmp/http/ftp/dns/ip 筛选协议为arp/icmp/http/ftp/dns/ip的流量包
5.包长度筛选
udp.length ==20 筛选长度为20的udp流量包
tcp.len >=20 筛选长度大于20的tcp流量包
ip.len ==20 筛选长度为20的IP流量包
frame.len ==20 筛选长度为20的整个流量包
6.http请求筛选
请求方法为GET:http.request.method==“GET” 筛选HTTP请求方法为GET的 流量包
请求方法为POST:http.request.method==“POST” 筛选HTTP请求方法为POST的流量包
指定URI:http.request.uri==“/img/logo-edu.gif”
筛选HTTP请求的URL为/img/logo-edu.gif的流量包请求或相应中包含特定内容:http contains “FLAG” 筛选HTTP内容为/FLAG的流量包
7.数据包搜索
在wireshark界面按“Ctrl+F”,可以进行关键字搜索:
注:Wireshark的搜索功能支持正则表达式、字符串、十六进制等方式进行搜索,通常情况下直接使用字符串方式进行搜索。
8.数据包还原
在wireshark中,存在一个追踪流的功能,可以将HTTP或TCP流量集合在一起并还原成原始数据,具体操作方式如下:
选中想要还原的流量包,右键选中,选择追踪流 – TCP流/UPD流/SSL流/HTTP流。
列题
1.题目一(1.pcap)
题目要求:
1.黑客攻击的第一个受害主机的网卡IP地址
2.黑客对URL的哪一个参数实施了SQL注入
3.第一个受害主机网站数据库的表前缀(加上下划线例如abc)
4.第一个受害主机网站数据库的名字
打开流量包,流量包有点大,打开比较慢,这里我们先过滤为HTTP协议可以看到202.1.1.2对192.168.1.8进行了疯狂的爆破
这里随便先看一个包
urlcode解码后如下:
可以看到黑客使用了SQL注入,试图构造存储型xss
option=com_contenthistory&view=history&list[ordering]=&item_id=1&type_id=1&list[select]=(&XfqR=2916 AND 1=1 UNION ALL SELECT 1,NULL,‘’,tab
再看一个包,同样urlcode解码
分析后发现仍在尝试SQL注入,注入工具sqlmap,注入点为list[select]
option=com_contenthistory&view=history&list[ordering]=&item_id=1&type_id=1&list[select]=("OR (SELECT 2*(IF((SELECT * FROM (SELECT CONCAT(0x71717a7671,(SELECT(ELT(883
然后我们去追踪一个SQL注入的TCP流,可以看到数据库为MariaDB,已经报错,而且表前缀为ajtuc_
此时挑选最后几次一次注入的payload进行url解码
这里的数据库名使用十六进制解码,解码出来就是joomla
答案:
1.黑客攻击的第一个受害主机的网卡IP地址
192.168.1.8
2.黑客对URL的哪一个参数实施了SQL注入 list[select]
3.第一个受害主机网站数据库的表前缀(加上下划线例如abc_) ajtuc_
4.第一个受害主机网站数据库的名字 joomla