劫持事件处理中针对gzip压缩数据包的处理

最新推荐文章于 2022-11-16 10:28:52 发布
最新推荐文章于 2022-11-16 10:28:52 发布
阅读量2.3k 收藏 2
点赞数
分类专栏: 安全 文章标签: 网络劫持 运营商劫持处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hrayha/article/details/50515182
版权
现在各种运营商的劫持都比较猖獗,可能不少小伙伴都处理过劫持事件,一般的处理过程可参考http://security.tencent.com/index.php/blog/msg/10与http://security.tencent.com/index.php/blog/msg/81 
抓包的方法这里提一下,打开一般都是手机连接wifi,电脑上设置代理,但是有些劫持发生在3g、4g这种,给大家提供两种抓包方法: 
1.手机共享wifi,电脑上连接后模拟手机请求(有些时候这种做法无法复现劫持情况) 
2.安卓:http://jingyan.baidu.com/article/acf728fd0802def8e510a3ae.html(这个现搜的,没亲自尝试) 
    IOS:http://www.cnblogs.com/wupher/archive/2013/03/25/2980161.html (本例中电脑模拟请求无法复现劫持情况,使用该方法抓的包) 

wireshark打开数据包,首先看tcp握手时返回的ttl 



本次劫持的现象是打开app某功能后就自动跳转到游戏的推广页面,我们找到跳转前请求的数据包,ttl如下



可以发现ttl从正常的45变成了250,至此结合发生的现象基本可判断为劫持(这里ttl是250,unix设备ttl从255开始,也就是第五跳,结合你tracert到目标的结果,第五跳的那个ip基本就是劫持设备,不过ttl也可以伪造,所以不能100%确认),是怎么劫持的呢?我们看下劫持前返回的html内容,右键数据包,选择“follow TCP Stream”,发现内容gzip压缩了,以raw方式把此数据包保存到本地 



用十六进制编辑器打开保存的文件,我这里使用的是Hex Fiend(http://ridiculousfish.com/hexfiend/) 


删除前面无用部分,找到以1F8B开头的gzip段



这里正常的话字节数与http包中Content-Length的值相等,如果不同的话因为格式错误解压gzip时会异常
解压后打开文件,在最下面找到了异常内容


hrayha
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Burp Suite抓取gzip数据包
zyw_anquan的专栏
03-02 6746
Burp Suite抓取gzip数据包 测试环境 [+]JDK 1.8.0_45 [+]Burp Suite 1.6.27 [+]WinHex 14.2 SR-3 [+]WinRAR 5.21 下载地址: [+]JDK 1.8.0_45 [+]Burp Suite 1.6.27 一、抓包 Burp Suite抓包方式详见:Burp Suite抓HTTPS数据包(通用)
http抓包实践--(四)-http压缩和url encode
weixin_42349568的博客
09-14 476
一,HTTP压缩 http压缩的过程 1,浏览器发送http请求给web服务器,请求的header能accept-encoding:gzip(告诉服务器,该浏览器可以支持gzip压缩)。 2,web服务器接收到http请求后,生成http响应,其有原始的content-type和content-length。 3,web服务器通过gzip来对http响应进行编码,编码后的header有content-type和content-length(压缩后的大小),并且增加了content-encoding:gz
数据进行GZIP压缩或解压缩
deni2000的博客
02-18 305
/** * 对data进行GZIP压缩 * @param data * @return * @throws Exception */ public static String unCompress(byte[] data) throws Exception { if (null == data...
Python 解密HTTP协议Gzip压缩数据
墨痕诉清风的博客
11-16 1325
HTTP 请求包含 Accept-encoding: gzip。HTTP 响应包含Content-encoding: gzip。个人示例入参为bytes类型,如果是str类型,前三个转为整形为31 139 8。主要分析前3个字节来做判定,正确的格式为1F 8B 08。
解密gzip压缩的网页数据流(转)
weixin_33781606的博客
03-08 407
因为采集某个网页遇到问题,一直无法获取页面数据。 经过一番排查,发现该网站会检查客户端的Header信息,如果遇到不明确的Header信息就直接否定,返回0数据。 如果Header信息正确,就会返回经过GZip压缩数据,这样直接获取网页数据的想法破灭了。  实际上.NET已经为我们封装好了GZip和Deflate加解压算法类,都位于 System.IO.Compression 命名空间内。...
dnsparse:解析处理DNS数据包
05-09
`dnsparse`是一个专门用于解析和处理DNS数据包的工具或库,通常由开发者使用,以便在编程环境理解和操作DNS通信。在本文,我们将深入探讨DNS解析的工作原理,以及`dnsparse`如何帮助我们解析DNS数据包。 首先,...
Laravel的Sessionid处理机制详解
12-18
在本文,我们将深入探讨 Laravel 的 Sessionid 处理机制,了解其工作原理以及如何确保会话安全。 首先,Laravel 允许开发者在配置文件 `config/session.php` 定制 Session 的相关设置,包括 Session Cookie ...
https劫持代理和数据包劫持代理例子程序
05-25
数据包劫持代理则更专注于底层网络数据包处理。攻击者通过监听网络流量,捕获并分析数据包,甚至可能对数据包进行修改后再转发。这种方法常用于嗅探密码、信用卡信息等敏感数据,或者执行拒绝服务攻击(Denial-of-...
XP系统反复注销的处理方案
05-27
标题的“XP系统反复注销的处理方案”是指针对Windows XP操作系统在启动过程频繁出现注销问题的解决方案。描述提到的问题是系统无法进入主界面,而是不断循环地注销,这通常是由于系统关键组件受到破坏或病毒...
记一次视频抓包m3u8解密过程
热门推荐
C站全栈优质创作者、阿里云受邀博主专家,喜欢结识新伙伴寻找志同道合的朋友,欢迎一起探讨学习
12-01 1万+
情景:女友买的学习视频将在一个月后到期(到期后下载在本地也无法看),让我帮忙把视频下载下来,之前抓过m3u8文件下载过视频切片合成后是一个完整视频,以为这次的任务非常简单~ 然鹅,查看一下app信息,已经被加固处理(伪加固) 已经加固了,暂时不考虑脱壳编译 于是开始抓包,我的安卓手机没有root,在抓取某课app时由于 检测到代理导致某课app里面没网络,之前在玩安卓逆向的时候偶然发现 部分APP可以放在容器,通过抓取容器获得运行APP的抓包数据 也就是用把 xx 安装在 VirtualXposed.
http嗅探器源码(含gzip编码源码,utf-8转gb2312源码,vc6编译)
03-11
http嗅探器(HttpSinifferPlugin)是个基于WinNetCap的插件,此插件能嗅探远程端口为80的数据包,并能解析出http命令头,但未解析数据,对于从事http协议分析、web开发者是件很好的工具。此插件公布源码,编程爱好者可随意修改源码,HttpSinifferPlugin 0.1 基于NAPAPlugin0.2开发包MFC模式开发,源码包含了gzip解码接口、utf-8转gb2312接口,开发者很容易使用这些接口解析http包体数据。HttpSinifferPlugin 0.1必须运行于娜帕平台1.0或WinNetCap1.1。
gzip编码与解码的demo
05-07
这是一个C++写的小程序,能够用gzip编码,然后解码。
Fiddler抓包
WildGrass、的博客
03-18 1994
Fiddler抓包1 什么是fiddler?1.1 概念1.2 使用场景1.3 工作原理2 HTTP协议3 Fiddler工具详解3.1 Fiddler 菜单栏3.2 Fiddler工具栏3.3 Fiddler会话列表3.4 辅助标签+工具栏3.5 命令行/状态栏 1 什么是fiddler? 1.1 概念 fiddler是位于客户端和服务器端的HTTP代理,目前最常用的抓包或是web调试工具之一。可以通过fiddler查看浏览器的所有HTTP/HTTPS流量、查看和分析请求内容细节、伪造客户端请求和服务端响
自动解压缩pcapchunk编码和gzip压缩数据
村中少年的专栏
05-01 1280
自动解压缩pcapchunk编码和gzip压缩数据
GZIP解密(java)
TigerXiaohan的博客
06-20 4138
说明:前端GZIP压缩之后,后端使用JAVA解密 1.准备 需要一个jar: <dependency> <groupId>commons-codec</groupId> <artifactId>commons-codec</artifactId> &l...
查看wireshark抓包含有gzip内容的方法
陈贤鹏的博客
05-24 4816
https://blog.csdn.net/xwj528/article/details/44157605
javascript劫持处理方法
最新发布
10-26
JavaScript劫持是指黑客通过篡改网页的JavaScript代码,来实现对用户的攻击。为了防止JavaScript劫持,可以采取以下几种方法: 1. 对于内联事件执行的代码,可以使用addEventListener()方法来代替。 2. 对于href...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值