Python复现Wireshark中Payload的字符串显示函数

已于 2022-10-12 12:22:56 修改
阅读量887 收藏 1
点赞数 2
分类专栏: 无所不能的Python 文章标签: python wireshark 开发语言 网络
于 2022-07-10 14:32:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunbcy/article/details/125701584
版权

Wireshark Payload显示函数探索

Github地址

https://github.com/sunbcy/Wireshark_Hex_String_Display

背景

由于工作的原因需要看大量的数据包,一开始还行,随着数量越来越多,人越来越疲惫,感到人力分析有限,很多时候需要反复翻看数据包定位问题,然而往往耗费大量时间。人生苦短,想到可不可以用Python来做下数据包的相关分析。于是开启Bing大法,看了些帖子后发现有Scapy网络安全分析库,可以用来读取分析数据包(看起来很有搞头!!!经过一番尝试,确实算是发现了一块新大陆,可以鼓捣鼓捣,弄个小工具出来。实际这个模块的功能很全,应用很广,不止于数据包分析。也能构造以及修改数据包相关信息,这些内容以后有空可以多撰几篇帖子)。

环境准备

  1. 需要安装scapy模块,这个很easy,一般能无视地形安装成功:
pip2 install scapy
pip3 install scapy

from scapy.all import *
  1. 看帖子的过程中发现,如果是分析HTTPS/SSL的流,需要安装另一个模块scapy_ssl_tls,这个模块的安装似乎有点费劲,在不同系统不同Python版本下安装方式有差异,直接使用pip可能会报错。作者一开始安装的是scapy-2.4.5和scapy_ssl_tls-2.0.0。在Windows系统python2环境下运行的,后来作者一番尝试,发现python3下这两个模块也能安装上去。本篇在此不过多讲该模块的安装,后面有空在补充帖文。
from scapy_ssl_tls.ssl_tls import *

主题

本篇的主题是探讨Wireshark中Payload的字符串显示函数在Python语言中的复现,此处我的环境以Windows下的Python3为主。

先来看看,关于Wireshark中Payload的字符串显示效果是怎样的:
在这里插入图片描述

左边是平平无奇的Hex字符串,右边是部分解码的可视化的字符串。
我们今天的目的就是在Python3环境下,已知左边部分的字符串,解码出右边的字符串。
那么 肉眼观察下右边的字符串可以发现几乎都是Ascii码(0~127)中可视的字符串:
在这里插入图片描述

那么问题就简单了,对hex字符做判断,如果在ASCii的可视化范围内(0x20~0x7e)就用一下urllib.parse.unquote解码,如果不是,就用"."英文逗号来代替。

我们准备的字符串,就是上面左边红框区域内的string:

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

代码生成的效果:
在这里插入图片描述

sunbcy
关注
专栏目录
[网络安全自学篇] 十四.Python攻防之基础常识、正则表达式、Web编程和套接字通信(一)
杨秀璋的专栏
09-29 2万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Wireshark抓包原理知识,并结合NetworkMiner工具抓取了图像资源和用户名密码,本文将讲解Python网络攻防相关基础知识,包括正则表达式、Web编程和套接字通信。本文参考了爱春秋ADO老师的课程内容,这里也推荐大家观看他Bilibili和ichunqiu的课程,同时也结合了作者之前的经验进行讲解。
[网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
杨秀璋的专栏
05-05 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将继续详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个月,一方面觉得自己技术菜,另一方面深知系统安全需要坚持,继续加油。希望文章对您有所帮助~
wireshark RTP抓包 导出H.264 Payload 插件
11-10
一个wireshark插件,可以在打开包含H.264码流的抓包后,选菜单“Tools->Export H264 to file [HQX's plugins]”后,把抓包文件里的H.264码流自动导出到抓包文件所在目录(工作目录)里,名为from___to__.264的264裸码流文件里。(文件格式为每个NALU前加0x00000001分隔符)。 把h264_export.lua文件,放到wireshark安装目录下,然后修改wireshark安装目录下的init.lua文件: (1)若有disable_lua = true这样的行,则注释掉; (2)在文件末加入dofile("h264_export.lua") 重新打开wirekshark就能使用该功能了。
WireShark列表显示数据
技术之路
12-09 7148
WireShark显示数据查看抓包 查看抓包 最近抓包,查看报文,每次要点进查看,挺费时不方便的,一个偶然的机会发现可以将报文件显示在列表,不用每次去点开查看报文。 在 编辑 —> 首选项… —> Appearance —> Columns 增加data项 应用,就可以看到数据如下图。 ...
Scapy-SSL/TLS 项目使用教程
最新发布
gitblog_00144的博客
08-15 790
Scapy-SSL/TLS 项目使用教程 scapy-ssl_tls SSL/TLS layers for scapy the interactive packet manipulation tool项目地址:https://gitcode.com/gh_mirrors/sc/scapy-ssl_tls 1. 项目的目录结构及介绍 Scapy-SSL/TLS 项目的目录结构如下: scapy-s...
wireshark- 计算数据(tcp payload)长度
qq_28808697的博客
07-13 9705
从IP包可以看出,IP包的长度是42,IP首部长度是20,那么TCP包的长度= IP包的长度 - IP首部长度 = 42- 20 = 22 从TCP包可以看出,TCP首部的长度是20字节, 那么 数据长度 = TCP包长度 - TCP首部长度 = 22 - 20 = 2 ...
分析wireshark无法正确显示字符的原因
村中少年的专栏
04-22 1万+
分析wireshark无法正确显示字符的原因
wireshark使用
Tech——never end
03-25 1612
wireshark如何解析指定 的payload 实际测试经常遇到此类问题,抓取的报文码流并不是从链路层开始,而是一些载荷协议或者从IP、TCP等开始,这个时候如何想要wireshark直接解析码流,就需要构造伪头部拼成完整报文结构。那有没有不需要这么麻烦,而是直接就可以导入码流进行解析呢,答案是肯定的。 对于常见的场景,比如抓取的IP包或者TCP包,我们可以使用Wireskark: 文件 ---- > 从HEX转储文件导入 这里就可以选择不同的类型,然后导入即可。 但是这里提供的仅仅是常见.
delphi socket 怎样把接收到的二进制数据转换成字符串显示_Wireshark抓包原理(ARP劫持、MAC泛洪)及数据流追踪和图像抓取...
weixin_39953102的博客
11-24 752
一、Wireshark抓包原理(一)网络抓包原理网络不论传输什么,最终通过物理介质发送的都是二进制,类似于0101的Bit流。纯文本(字符串)文通常采用UTF-8编码,英文用ASCII编码;非纯文本音频、视频、图片、压缩包等按不同编码封装好,转换成二进制传输。在IP网络,通过Wireshark抓包,获取的原始数据都是二进制。哪种网络情况下能够抓取到包呢?下面结合网络原理讲解。网络抓包主要存在...
[网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域的机器学习
杨秀璋的专栏
11-01 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Web渗透的第一步工作,涉及网站信息、域名信息、端口信息、敏感信息及指纹信息收集。这篇文章换个口味,将分享机器学习在安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意请求识别。
[网络安全自学篇] 十六.Python攻防之弱口令、自定义字典生成及网站防护
杨秀璋的专栏
03-30 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Python网络攻防基础知识、Python多线程、C段扫描和数据库编程,本文将分享Python攻防之自定义字典生成,调用Python的exrex库实现,并结合Selenium和BurpSuite实现网站暴库破解案例。本文参考了爱春秋ADO老师的课程内容,这里也推荐大家观看...
sslyze, 快速强大的SSL/TLS 服务器扫描库.zip
09-18
sslyze, 快速强大的SSL/TLS 服务器扫描库 SSLyze 用于 python 2.7和 3.4 的快速和功能强大的SSL/TLS 服务器扫描库。描述SSLyze是一个 python 库和一个可以通过连接它来分析服务器的SSL配置的CLI工具。 它的设计是快速和全面的
[网络安全提高篇] 一一三.Powershell恶意代码检测 (1)论文总结及抽象语法树(AST)提取
杨秀璋的专栏
03-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将详细讲解PowerShell、Powershell恶意代码检测总结及抽象语法树(AST)提取。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。
wireshark官方文档第 8 章数据包捕获
死胖子的博客
10-25 773
第 8 章数据包捕获 本章需要复审和扩展。 8.1.如何向Libpcap 添加新的捕获类型 在本次讨论,我假设您使用的是 libpcap1.0 或更高版本。您可能不想使用早于1.0 的版本,即使您使用的任何操作系统恰好包含libpcap - 旧版本对于添加对标准网络接口以外的设备的支持并不友好。 首先,阅读《有关编写新 libpcap 模块的 libpcap 文档》(libpcap/README.capture-module at master · the-tcpdump-group/lib.
Wireshark数据抓包教程之认识捕获分析数据包
大学霸__IT达人
07-16 4万+
Wireshark数据抓包教程之认识捕获分析数据包
wireshark使用全解笔记【2.4.5.0版本】
Sp4rkW的博客
02-26 2万+
前言 西普教育的铁三训练营的课程有很详细的关于wireshark视频教程,正好对wireshark这款神器也不是太熟悉,一边学习补漏,一边做一个学习笔记与大家分享 页面功能简介 主界面,波动的线代表网卡传输信息的波动,以实际网卡为准。如图: 封包列表,表示所有捕获的数据包。这里可以观察到发送方的IP地址,接收方的IP地址,协议端口号,以及封包内容。如图: 封包列表信息显示被...
Scapy基础学习之一
热门推荐
wang_walfred的专栏
10-13 5万+
关于Scapy Scapy的是一个强大的交互式数据包处理程序(使用python编写)。它能够伪造或者解码大量的网络协议数据包,能够发送、捕捉、匹配请求和回复包等等。它可以很容易地处理一些典型操作,比如端口扫描,tracerouting,探测,单元测试,攻击或网络发现(可替代hping,NMAP,arpspoof,ARP-SK,arping,tcpdump,tethereal,P0F等)。最重要的
wireshark查找字符串
公众号shadow sock7
06-04 3万+
应该在Packet details找,而且是找string。 默认的是在Packet list找,而且是找Display filter 挂不得找不到!方法不对! 这不就找到了吗?
wireshark查询字符串
09-05
Wireshark查询字符串的方法是使用"查找"功能。你可以在Wireshark的界面上找到一个搜索框。在这个搜索框,你可以输入你想要查找的字符串Wireshark会自动搜索并显示包含该字符串的数据包。你可以在"Packet List"或"Packet Details"找到这些数据包。默认情况下,Wireshark会在"Packet List"搜索。如果你想要在"Packet Details"搜索,你需要在搜索框输入"string"作为关键字。例如,如果你想要过滤查看包含某字符串的HTTP数据包,你可以在搜索框输入"http contains “string”"。如果你想要过滤查看请求某一URL的流量,你可以在搜索框输入"http.request.uri == “path”"或"http.request.uri contains “path”"。这样,Wireshark就会显示包含相应字符串或URL的数据包。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Wireshark搜索/查找字符串失败](https://blog.csdn.net/u014552102/article/details/125113380)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [wireshark查找字符串](https://blog.csdn.net/caiqiiqi/article/details/72859514)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sunbcy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值