wireshark 流量抓包例题重现

最新推荐文章于 2024-04-07 17:34:45 发布
最新推荐文章于 2024-04-07 17:34:45 发布
阅读量181 收藏 1
点赞数
文章标签: wireshark 网络 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64352136/article/details/132511492
版权

一、Wireshark下载

下载地址:Wireshark · Download

pcap流量包的分析通常是通过图形化的网络嗅探器——Wireshark进行的. Wireshark的基本使用分为数据包筛选、数据包搜索、数据包还原、数据提取四个部分。

二、Wireshark初识

1.筛选ip

(1)、方法一

ip.src == 源ip地址

ip.dst == 目的ip地址

(2)、方法二

选中一个源IP是筛选条件的数据包,找到Internet Protocol Version 4下的Source/Destination字段。右击Source/Destination字段,再选择作为过滤器应用 –-> 最后点击选中,就可筛选出该源IP的所有包了

2.mac地址筛选

eth.dst ==A0:00:00:04:C5:84 筛选目标mac地址

eth.addr==A0:00:00:04:C5:84 筛选MAC地址

3.端口筛选

tcp.dstport == 80  筛选tcp协议的目标端口为80的流量包

tcp.srcport == 80  筛选tcp协议的源端口为80的流量包

udp.srcport == 80  筛选udp协议的源端口为80的流量包

4.协议筛选

tcp  筛选协议为tcp的流量包

udp 筛选协议为udp的流量包

arp/icmp/http/ftp/dns/ip  筛选协议为arp/icmp/http/ftp/dns/ip的流量包

5.包长度筛选

udp.length ==20   筛选长度为20的udp流量包

tcp.len >=20  筛选长度大于20的tcp流量包

ip.len ==20  筛选长度为20的IP流量包

frame.len ==20 筛选长度为20的整个流量包

6.http请求筛选

请求方法为GET:http.request.method==“GET”        筛选HTTP请求方法为GET的 流量包

请求方法为POST:http.request.method==“POST”      筛选HTTP请求方法为POST的流量包

指定URI:http.request.uri==“/img/logo-edu.gif”  筛选HTTP请求的URL为/img/logo-edu.gif的流量包

请求或相应中包含特定内容:http contains “FLAG”    筛选HTTP内容为/FLAG的流量包

7.数据包搜索

在wireshark界面按“Ctrl+F”,可以进行关键字搜索:

注:Wireshark的搜索功能支持正则表达式、字符串、十六进制等方式进行搜索,通常情况下直接使用字符串方式进行搜索。

8.数据包还原

在wireshark中,存在一个追踪流的功能,可以将HTTP或TCP流量集合在一起并还原成原始数据,具体操作方式如下:

选中想要还原的流量包,右键选中,选择追踪流 – TCP流/UPD流/SSL流/HTTP流。

 

三、列题

接下来我们来看一道数据分析题,需要4个流量包 1-4.pcap,网盘链接自行提取

链接:https://pan.baidu.com/s/1gTL_l0Xk2xP3ZNWYvBWi8g?pwd=d6g7 
提取码:d6g7

1.题目一(1.pcap)

题目要求:

1.黑客攻击的第一个受害主机的网卡IP地址

2.黑客对URL的哪一个参数实施了SQL注入

3.第一个受害主机网站数据库的表前缀(加上下划线例如abc

4.第一个受害主机网站数据库的名字

打开流量包,流量包有点大,打开比较慢,这里我们先过滤为HTTP协议可以看到202.1.1.2192.168.1.8进行了疯狂的爆破

这里随便先看一个包

urlcode解码后如下

可以看到黑客使用了SQL注入,试图构造存储型xss

option=com_contenthistory&view=history&list[ordering]=&item_id=1&type_id=1&list[select]=(&XfqR=2916 AND 1=1 UNION ALL SELECT 1,NULL,'<script>alert("XSS")</script>',tab
再看一个包,同样urlcode解码

分析后发现仍在尝试SQL注入,注入工具sqlmap,注入点为list[select]

option=com_contenthistory&view=history&list[ordering]=&item_id=1&type_id=1&list[select]=(" OR (SELECT 2*(IF((SELECT * FROM (SELECT CONCAT(0x71717a7671,(SELECT (ELT(883

然后我们去追踪一个SQL注入的TCP流,可以看到数据库为MariaDB,已经报错,而且表前缀为ajtuc_

 此时挑选最后几次一次注入的payload进行url解码

 

imgimg

 这里的数据库名使用十六进制解码,解码出来就是joomla

答案:

1.黑客攻击的第一个受害主机的网卡IP地址 
192.168.1.8
2.黑客对URL的哪一个参数实施了SQL注入
list[select]
3.第一个受害主机网站数据库的表前缀(加上下划线例如abc_)
ajtuc_
4.第一个受害主机网站数据库的名字
joomla

 

 

树上一太阳
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WireShark流量抓包详解与例题重现
m0_74344277的博客
08-29 1097
说明:数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏View --> Coloring Rules。如下所示WireShark 主要分为这几个界面1. Display Filter(显示过滤器), 用于设置过滤条件进行数据包列表过滤。菜单路径:Analyze --> Display Filters。2. Packet List Pane(数据包列表), 显示捕获到的数据包,每个数据包包含编号,时间戳,源地址,目标地址,协议,长度,以及数据包信息。
wireshark 流量抓包例题
weixin_55822200的博客
09-05 1201
然后,可以看到,202.1.1.2和 192.168.1.8这两个IP出现的次数较多,同时,也可以知道是202.1.1.2对192.168.1.8进行了攻击。寻找数据库名的话,那么就查找url中包含schema关键字的字段,再对其进行解码,为joomla。然后,追踪一个SQL注入的TCP流,可以看到数据库为MariaDB,而且表前缀为ajtuc_那么第一个问题的答案——受害者的IP地址是192.168.1.8。1.黑客攻击的第一个受害主机的网卡IP地址。1.黑客攻击的第一个受害主机的网卡IP地址。
流量抓包工具fiddler&Wireshark;
05-29
流浪抓包工具fiddler&Wireshark;,fiddler常配合移动端开发使用。 Wireshark则web开发工程师使用较多。 版本:Wireshark-win32-1.12.0.1410492379 版本:fiddler4setup.1399271701 还有个burp工具,十分受安全大神的青睐。这里没有列出,感兴趣的可以自行了解。
流量 抓包
qq_62545623的博客
04-17 1803
OSI模型为 应用层:app产生数据 表示层:在其中进行格式的转换 会话层:区分不通会话 传输层: 端到端连接;通过端口号识别上层协议;比如443识别https; 80-http; 端口号:小于1023的是知名端口,一些应用层协议都是默认为知名端口 网络层:为了ip寻址 数据链路:mac寻址 物理层:决定数据再不同介质的传输方式 抓包: 1,报文五元组: 应用层:协议.telnet 网络层:源ip,目的ip 传输层:源端口,目的端口 wireshark 流量包文件分析 常用过滤
流量分析抓包工具
11-07
流量分析抓包工具
2.Burp Suite 入门篇 —— HTTP 流量抓包
YouTheFreedom的博客
04-07 2078
本篇文章会教你怎么用 Burp Proxy 拦截 HTTP 请求,burpsuite 抓包的原理是通过 Burp Proxy 代理浏览器和目标服务器之间发送的 HTTP 请求和响应。通过 burpsuite 的抓包功能,我们既可以有针对性地拦截捕捉某些网络请求的流量,也能先正常访问网站,然后再去历史记录里面查看客户端和服务器之间的通讯过程和内容。
Wireshark例题-CTF
热门推荐
LYJ20010728的博客
05-14 1万+
Wireshark例题-CTF搜索文件提取例题例题二信息提取 搜索 题目文件:key.pcapng 题目描述:flag被盗,赶紧溯源! 题目题解: ①可以只将这个数据包当做文本文件打开,比如用一些notepad++编辑器,然后直接搜索 ②用Wireshark自带的搜索功能找尝试查找一些关键词(比如key、flag、shell、pass等),然后跟进可疑的数据包,根据数据包特征,很明显看出这是一个菜刀连接一句话木马的数据包,然后往下找,即可看到读取的flag 文件提取 例题一 题目文件:
wireshark进行手机抓包,有详细步骤
07-05
Wireshark手机抓包详解 Wireshark是一款功能强大的网络协议分析工具,广泛应用于网络故障诊断、网络安全测试、网络流量监控等领域。在这里,我们将详细介绍如何使用Wireshark进行手机抓包,掌握这项技能可以帮助您...
使用wireshark蓝牙抓包器教程(含文档与软件安装包).rar
10-15
总结一下,使用Wireshark进行BLE抓包分析主要涉及以下步骤: 1. 安装Wireshark和蓝牙支持库。 2. 设置蓝牙适配器为监听模式。 3. 使用Wireshark启动捕获,应用BLE ATT过滤器。 4. 连接BLE设备并与其交互,观察捕获的...
wireshark循环抓包方法
02-23
在本指南中,我们将详细介绍如何使用Wireshark进行循环抓包,以便持续捕获网络流量并进行深入分析。 首先,理解循环抓包的概念至关重要。循环抓包允许Wireshark在达到设定条件时不断捕获网络数据包,而不是一次性...
IP抓包分析IP包监测流量
11-22
网络抓包工具实用。方便监控网络中的数据包,对访问者进行监控,还有服务检测以及端口检测。
Wireshark流量分析例题
求大佬师傅带
08-23 3030
Wireshark流量分析例题
网络安全:Wireshark零基础使用教程(流量抓包
Mr_qing的博客
11-16 2407
调整界面大小设置显示列1)添加显示列2)隐藏显示列3)删除显示列设置时间标记数据包导出数据包1)导出单个数据包2)导出多个数据包开启混杂模式六、过滤器操作抓包过滤器1)BPF语法2)使用方式显示过滤器1)语法结构2)使用方式一、Wireshark是什么Wireshark是使用最广泛的一款「开源抓包软件」,常用来检测网络问题、攻击溯源、或者分析底层通信机制。它使用WinPCAP作为接口,直接与网卡进行数据报文交换。
抓包教程】微信小程序精准流量抓包教程(超详细 保姆级教程 BP安装证书手把手教)
qq_47493625的博客
01-03 6549
1.打开浏览器,右上角打开设置。搜索代理我们点击最后一个,打开计算机的代理设置。自动跳转到设置界面。按照如下图配置这里的地址和端口要和我们BP中的一致,我们需要打开bp看看。
004_wireshark专题
weixin_33762321的博客
02-02 75
一、常用的wireshark搜索语法 (1) http.request.uri contains "admin/activities" #搜索URL包含"admin/activities"的链接 (2)wireshark协议分析 http://blog.csdn.net/ahafg/article/details/51039584  二、过滤http中包含指定header头的内...
Wireshark一些面试问题以及详细解答
zzf011900的博客
11-29 929
Wireshark一些常见面试问题以及详细解答
一个数据分析题引发对wireshark的思考
壊壊的诱惑你的博客
05-22 264
在bugku上做了一个数据分析题,就是找响应里面的flag而已,但是flag是压缩文件。一共有两种做题方法,第一种就是用wairshark分析,具体如下: 黑客使用密码为123的绕狗的脚本,请求的是flag.tar.gz压缩文件,脚本中以X@Y作为开始和结束符。这里在响应体中看不见flag,只是压缩文件。接下来显示分组字节即可:(应该是对8bit字节进行操作) ...
2021年云南省职工职业技能大赛CTF流量分析题(wireshark)WriteUp
weixin_43137410的博客
10-09 4337
2021年云南省职工职业技能大赛CTF流量分析题(wireshark)WriteUp .0x00 前言 本人作为业余爱好者参加了2021年云南省职工职业技能大赛的网络安全比赛,比赛形式以CTF+理论考核+模拟渗透的形式,今天分享一题流量分析题的解题过程。 0x01 题目分析 题目名很直接,就叫wireshark,将压缩文件解压之后是一张名为“target.jpeg”的图片。 0x02 解析图片 目标明确,直接上binwalk。 通过binwalk分析,图片内还藏有一个zip压缩文件,使用命令 binwal
Wireshark流量抓包
最新发布
08-10
Wireshark是一款免费开源的网络协议分析工具,它允许用户捕获、查看和分析计算机网络中的数据包。流量抓包,即通过Wireshark网络通信进行实时监控,可以揭示网络活动的细节,包括但不限于IP头信息、TCP/UDP连接、HTTP请求响应、DNS查询等。以下是抓包的一些基本步骤: 1. 安装Wireshark:首先需要从其官方网站下载并安装适合操作系统的版本。 2. 启动抓包:运行Wireshark后,通常选择“开始捕捉”或类似选项,可能会要求指定网卡接口或选择过滤条件。 3. 设置过滤器:可以设置特定的过滤规则,如只显示某个IP地址的数据包,或只关注特定的应用层协议。 4. 分析数据包:抓取到的数据包会在Wireshark的用户界面中展示,包含源地址、目标地址、协议类型、时间戳、数据内容等详细信息。 5. 导出结果:如果需要,还可以将抓包的结果导出为文本文件或图形报告,便于后续深入分析或分享给他人。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值