工具:Wireshark
Wireshark
wireshark过滤器表达式
协议过滤
TCP:只显示TCP协议的数据流
HTTP:只显示HTTP协议的数据流
ICMP:只显示ICMP协议的数据流
ARP:只显示ARP协议的数据流
DNS:显示DNS协议的数据流
IP过滤
ip.addr = 192.168.116.138,只显示ip为192.168.116.138有关的数据流
ip.src = 192.168.116.138,只显示源IP地址为192.168.116.138的数据流
ip.dst = 192.168.116.138,只显示目标IP地址为192.168.116.138的数据流
端口过滤
tcp.port == 80,只显示80端口TCP数据流
udp.prot == 67,只显示67端口UDP数据流
tcp.srcport == 80, 只显示源地址的80端口数据流
tcp.dstport == 80,只显示目的地址80端口数据流
过滤HTTP协议
http.request.method==“GET”,显示get请求
http.request.method==“POST” ,显示POST请求
http.request.url contains admin ,显示url中包含admin的请求
http.request.code==404,显示状态码为404
http contains “FLAG”,请求或相应中包含特定内容
连接符
and
or
如:tcp.port == 80 and ip.addr = 192.168.116.138
过滤包长度
udp.length20,整个UDP数据包
tcp.len>=20,TCP数据包中的IP数据包
ip.len20,整个IP数据包
frame.len==20,整个数据包
数据包统计分析
统计菜单可以查看流量包的大致情况,如包含哪些协议、哪些 IP 地址参与了会话等
统计中的协议分级统计和会话统计功能可直观的以查看所选流量包协议的分布情况,帮助识别可疑协议,和不正常的网络应用程序,快速定位到需要分析的点
数据包结构
点击某个包,可以查看具体内容,差不多刚好对于五层协议:
Frame:物理层的数据帧概况。
Ethernet II:数据链路层以太网帧头部信息。
Internet Protocol Version 4:互联网层IP包头部信息。
Transmission Control Protocol:传输层的数据段头部信息,此处是TCP协议。
Hypertext Transfer Protocol:应用层的信息,此处是HTTP协议。
数据流追踪
一个完整的数据流一般都是由很多个包组成的,当我们想查看某条数据包对于的数据流的话。可以选中数据,右键选择追踪流,里面就会有tcp流、udp流、ssl流、http流,数据包属于哪种流就选择对应的流。
当我们选择了追踪流时,会弹出该流的完整的数据流还有这个数据流中包含的数据包,对话框下面可以选择数据流方向,顶部的过滤器就是该流的过滤规则。
解题思路
flag 明文
Wireshark 直接 ctrl+f 打开搜索栏,显示过滤器选项选择字符串,分组列表选项选择分组字节流,直接搜索 flag
注意:有些可能不是 flag 是 f1ag 或者其他
flag 编码
flag经过16进制编码或者其他编码
16进制编码开头:flag 666C6167
其他操作和 flag 明文一致
压缩包流量
flag 存放在 zip rar tar.gz 7z 里
红色部分为发送包
蓝色部分为返回包
第 0 个流返回包为目录,说明进行了列目录的命令
查看第 1 个流,发现是一句话木马
再看第 2 个流,发现返回包有一段压缩格式,具体的压缩格式需要对发送包进行解码,先进行URL解码,后进行Base64解码
发现一个 flag.tar.gz 的压缩包
返回这个数据包,查看应用层的信息,此处是HTTP协议。
发现 X@Y 是菜刀流量的标志,解码时从第三位开始,因为Wireshark支持 tar.gz 格式,直接解码为压缩格式(如果是其他压缩格式需要先导出再手动打开)
手动导出方法
- 显示分组字节 -> 原始数据 -> save as -> 1.zip(选择原始数据是为了防止不可打印字符对结果产生干扰)
- 导出为分组字节流 -> 1.zip
- 追踪流 -> 选择返回包(蓝色) -> 显示原始数据 -> save as -> 1.zip
Telnet 协议
过滤 telnet协议,追踪 TCP流
只看发送包内容
想知道 … 是什么,将数据显示为Hex转储(16进制),然后再在ASCII表中找到该编码对应的字符,08对应退格对应ASCII码是退格,就是往前删除三格
后续补充…
558
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
