从0开始学杂项 第八期:流量分析(2) 数据提取

已于 2024-09-03 20:50:32 修改
阅读量337 收藏 18
点赞数 11
分类专栏: 从0开始的CTFer之路 # 从0开始学杂项 CTF相关 文章标签: web安全 安全 网络安全 wireshark json
于 2024-09-03 20:43:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CHTXRT/article/details/141871336
版权

Misc 学习(八) - 流量分析:数据提取

这一期,我们主要写一下如何进行比较繁多的数据的提取。

使用 Tshark 批量提取数据

有时候,我们会需要从多个包中提取数据,然后再进行截取和组合,比如分析一个布尔盲注的流量文件等,这时,Tshark就派上了它的用场。

Tshark 是 Wireshark 的命令行版,可以高效快捷地提取数据,从而省去了繁杂的脚本编写。

tshark.exe -r 123.pacp -T fields -e frame.time_relative -e ip.src -e ip.dst -e ip.proto -e frame.len -E header=y -E separator=, > out123.csv

-r 123.pcap	读取要分析的报文记录文件(pcap)
-T fields	输出格式,选 fields 按字段,还有其他选项,比如json等其他格式,必须结合-E和-e一起使用
-e 取出某个字段(提取出的csv文件将以此作为字段名,如 -e ip.src (发送地址)-e ip.dst(目标地址) -e ip.proto -e frame.len)
-Y 筛选过滤报文,与wireshark的过滤器基本一致,例:-Y 'http.host == "web-server1"'
-E header=y	输出是否有表头,y表示有表头,n表示没有表头
-E separator=,	以逗号作为分隔符

光看不做,可能大家看不大懂,那就找个例子给大家演示一下:

在这里插入图片描述

我们的目的,是在这个流量文件中,提取出如图所示的json格式的用户数据。那我们首先要明确两个问题:1. 如何筛选出需要提取出数据的包?2. 应该提取每个包中的哪个部分?

筛选

确定筛选的范围,我们可以使用Wireshark的过滤器可视化地确定范围。对于这个题目,我们知道要提取的是JSON,可以使用json进行过滤:

在这里插入图片描述

提取

接下来就是确定提取包里的哪些东西,这个题里我们不需要提取ip之类的东西,只需要提取出JSON就可以了。那有些同学可能就想了,能不能提取json呢,同学们可以试一下,结果我就不说了。这里,我们可以点击这块数据,就可以看到最下方显示了这块数据的成分:tcp.segment_data,我们就可以提取每个含有json包中的tcp.segment_data

在这里插入图片描述

构造命令

根据上文,我们可以构造出如下命令:

tshark -r data.pcapng -T fields -e tcp.segment_data -Y 'json' -E header=n -E separator=, > out123.csv

# 其中:
# -r data.pcapng:从data.pcapng中提取
# -T fields:按字段提取
# -e tcp.segment_data:提取tcp.segment_data
# -Y 'json':筛选‘json’
# -E header=n -E separator=,:不要表头,以逗号为分隔符

在Kali中运行这段命令,即可得到out123.csv,不过打开来看,里面是一串十六进制字符串,我们只需要用Cyberchef打开文件,将其转换为字符串即可得到JSON数据:

在这里插入图片描述

使用 Wireshark 提取数据

使用Wireshark也可以提取上题的JSON数据,但是比较复杂,所以我个人还是推荐用Tshark。

  1. 筛选

    跟上面一样,我们使用使用json进行过滤。

  2. 新建列

    我们可以看到,Wireshark自带的几个列中是没有segment_data的,我们首先要右键表头,点击“列首选项”。

    在这里插入图片描述

    然后点击下面的加号,新建一个列,名字无所谓,类型选 Custom,"Fields"就写你要提取的部分,这里我们要提取的是tcp.segment_data,打完以后点击确定。

    在这里插入图片描述

    可以看到在Info的右边就多出来了一列。

  3. 点击顶部菜单-文件-导出分组解析结果,你想导出什么格式就选什么格式,分组范围选择“已显示”-“所有分组”,点击保存,即可获得与Tshark导出的类似的csv文件,但是这个文件多了几列(No、Time等,就是你默认显示的那些列),并且有表头。

    在这里插入图片描述

后面流程与Tshark相差不多,在此不再赘述。


本期就先写到这里,主要内容为如何使用Tshark和Wireshark实现流量文件中复杂数据的提取,下一期可能写写USB协议流量包的分析。

参考资料

[1] CTF-WIKI :https://ctf-wiki.org/misc/traffic/data/

[2] wireshark.org :https://www.wireshark.org/docs/wsug_html_chunked/ChIOExportSection.html

以上内容仅供参考,如有错漏,也很正常。


作者:CHTXRT

出处:https://blog.csdn.net/CHTXRT

本文使用「CC BY-ND 4.0」创作共享协议,转载请在文章明显位置注明作者及出处。

CHTXRT
关注
  • 11
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
misc——流量分析usb(2)
2301_81864699的博客
06-19 607
usb协议数据部分数据长度为8个字节,其中击键信息集中在第三个字节思路:在Linux中使用tshark命令把cap data提取出来,根据《usb键盘协议中键码》中的HID Usage ID将数据还原为键跑脚本(先将每个字节以冒号分割,方便提取
MISC:HTTP 流量分析技术.
网络安全领域___专研者.
05-15 2697
Misc即杂项,是信息隐藏又称信息伪装,就是通过减少载体的某种冗余,如空间冗余、数据冗余等,来隐藏敏感信息,达到某种特殊的目的。 信息隐藏打破了传统密码的思维范畴,从一个全新的视角审视信息安全。与传统的加密相比,信息隐藏的隐蔽性更强,在信息隐藏中,可以把这两项技术结合起来,先将秘密信息进行加密预处理,然后再进行信息隐藏,则秘密信息的保密性和不可觉察性的效果更佳。
实验吧杂项-流量日志分析
Au
09-11 1276
A记录 数据包 题目描述如下: 下载下来是一个cap文件,用wireshark打开,提示文件截断 观察流量发现为无线流量,加上之前的报错,猜测为已加密的数据包 破解加密的无线数据包需要得到数据包的 ESSID 和 PASSWORD 使用Kali集成的aircrack-ng 爆破工具得到ESSID为 0719 加密方式为 WPA加密(脆弱) 加载字典...
180106 杂项-盲注流量分析
whklhhhh的博客
01-07 1978
1625-5 王子昂 总结《2018年1月6日》 【连续第463天总结】 A. 第二届领航杯线下赛 B. 难度感人(:з」∠) Re是ios平台的,没接触过,API完全不懂,又不给外网,当场懵逼,考完试再试试 只做了个misc1,数据包分析打开导出HTTP对象,可以看到是sql盲注的流量 这里是在爆database,由于成功的包和失败的包有显著的区别(内容、大小等等),我们通过这些
【ctf】whireshark流量分析之tcp_杂篇
一大口木的博客
12-21 2029
流量分析之tcp_杂篇
CTF 流量分析Wireshark Certificate例题
晚安這個未知的世界
01-27 7092
前言 昨晚6点多的时候,朋友突然给我发了一道流量分析题,当时在吃饭,结果一直到8点多才开始分析这个流量包,这种题在网上太少碰到 题目附件链接:https://pan.baidu.com/s/1Vz8XBen_nrkfqRxSDbN2sg 密码:7xq8 先打开附件,一看上去就只有TLSv1.2和TCP两种协议,以往流量包解的最多都是HTTP协议,所以我们要进行解密才能看到里面的包加密信息,然后由于前段时间的羊城杯CTF比赛也是有一题流量分析,里面有很多TCP协议,我就看一下是不是TCP隐写,结果不是。
Bugku:杂项 USB 流量截取
qq_26961571的博客
02-04 766
但其中比较关键的有第一和第二位构成的值,表示是当取0x00时,代表没有按键,为0x01时,代表按左按键,为0x02时,代表当前按键为右键,0x20表示shift键。这个脚本得出的flag是没有下划线的,但是我们直接看usbdata.txt中是存在下划线这个字符的。这里可以看到[]和-其实是没有按shift键的,所以转换成{}和_就可以。一起快落习CTF吧!~~ (*^▽^*)大知闲闲,小知间间,大言炎炎,小炎詹詹。这道题的flag其实是有点问题的,欢迎关注我的微信公众号!下载后是一个USB的流量包,
键盘流量分析
qq_52395989的博客
08-02 415
3.利用python编写的脚本对提取出来的所有usb.txt转化生成敲击内容。(ps:我在网上没找到可运行的脚本,后面看到脚本结构后根据对应关系翻译的,仅供参考)2.导出的文件如下,键盘数据存储在usb.txt中,将所有的hid data值提取出来。(这里可以参照网上的方法,我用手工导出的,比较慢)。4.其中00000b0000000000的0b就对应h,后面以此类推,得到flag:helloworld!(1).选中HID Data,右键选择复制–>值,就可以把00000b0000000000复制出来。
MISC:杂项
qq_55038440的博客
03-14 1090
MISC杂项常见套路
bugku——分析(流量分析)题解
小锤队长的博客
10-19 4300
目录 1,flag被盗 2,中国菜刀 3,这么多数据包 4,手机热点 5,抓到一只苍蝇 6,日志审计 7,weblogic 8,信息提取(超详细) 9,特殊后门 1,flag被盗 ctrl + f 打开搜索框,搜flag ,找到 93 个数据包里有 flag.txt字样, 右键,追踪 TCP数据流,在其中看到了 flag: flag{This_is_a_f10g}...
某行业攻防培训-----流量分析之-----sql盲注
qwsn
10-29 4313
0x01:题目链接 题目百度网盘链接 提取码 https://pan.baidu.com/s/1HxrRWiL_FipAFsJIA1hB1g a5z8 0x02:题目分析 题目 用wireshark打开后 由于是Sql盲注 找到爆this_is_flag字样的字段 流量分析 通过查看,发现是Sql盲注 所以从后开始查看 因为是1个1个的爆字,所以可以确认...
【极富参考价值!】第1章 ClickHouse 简介《ClickHouse 企业级大数据分析引擎实战》...
光剑书架上的书
12-13 9455
《ClickHouse 企业级大数据分析引擎实战》全书目录目录第1章 ClickHouse 简介第2章 MergeTree 表存储引擎第3章 ClickHouse SQL 执行原理第4章 ...
入门网络安全工程师要习哪些内容
白帽子佳奇的博客
09-03 868
大家都知道网络安全行业很火,这个行业因为国家政策趋势正在大力发展,大有可为!但很多人对还是不了解,不知道需要什么?知了堂小编总结出以下要点。是一个概称,习的东西很多,具体什么看自己以后的职业定位。如果你以后想成为安全产品工程师,的内容侧重点就和不一样,如果你想成为安全开发工程师,的侧重点就和安全不一样。的东西很泛,但选定方向就简单了。大致的习流程总结就是:网络基础、操作系统、中间件、数据库。其中电脑基础:像系统Windows基础和Linux基础、HTML基础、代码JS基础等。
网络安全】服务基础第一阶段——第九节:Windows系统管理基础---- Windows_AD域
goldfish8848的博客
09-03 799
活动目录(Active Directory,AD)是微软Windows Server操作系统中的一个关键服务,它提供了一个集中的目录服务,用于管理网络环境中的用户、计算机、设备、应用程序和服务。,如⼀个⽤户,如果我们在服务器已给这个⽤户定义了讲如:⽤户名、⽤户密码、⼯作单位、联系电话、家庭住址等,那上⾯所说的总和⼴义上理解就是“⽤户”这个名字的名字空间,因为我们只输⼊⼀个⽤户名即可找到上⾯我所列的⼀切信息。例如,在AD中,域控制器的名称会映射到其在DNS中的记录,以便⽹络中的其他服务和客户端可以找到它。
网络安全服务基础Windows--第15节-CA与HTTPS理论
最新发布
m0_65771743的博客
09-03 822
SSL 3.0(1996年发布):这是⼀个⼤幅改进的版本,修复了 SSL 2.0 中的许多漏洞,并引⼊了更强⼤的加密和消息认证机制。SSL 是由 Netscape 公司于 1990 年代早期开发的,⽬的是为互联⽹通信提供加密和身份验证,特别是在电⼦商务和在线⽀付等需要保护敏感信息的场景中。SSL 2.0(1995年发布):这是第⼀个公开发布的版本,但很快被发现存在多种安全漏洞,例如,SSL 2.0 不⽀持⾜够强⼤的加密算法,也缺乏对消息完整性的保护。CA 验证实体的身份,并为其颁发绑定特定公钥的数字证书。
网络安全】漏洞挖掘
anquan2233的博客
08-29 1371
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
信息安全--(四)网络安全体系与安全模型(二)
m0_60936698的博客
08-30 1077
■ 等级保护分为五个:第一级(用户自主保护级)、第二级(系统审计保护级)、第三级(安全标记保护级)、第四级(结构化保护级)、第五级(访问验证保护级)。■ ①扩大了对象方位,将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“网络安全 通用要求+新型应用的网络安全扩展要求”的要求内容。■ 管理手段:包括安全评估、安全监管、应急响应、安全协调、安全标准和规范、保密检查、认证和访 问控制等;管理目标: (大)政治、经济、文化、国防安全等,(小)网络系统的保密、可用、可控等。·监督安全项目的实施;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值