wireshark的简单使用:在二进制流中还原出zip文件

最新推荐文章于 2024-07-08 11:04:37 发布
最新推荐文章于 2024-07-08 11:04:37 发布
阅读量2.5k 收藏 7
点赞数
文章标签: 网络
原文链接:http://www.cnblogs.com/dachuanduan/p/9437160.html
版权

这是在某CTF上遇到的一个问题。

然而我对于wireshark的使用我却一知半解,打开pcapng文件发现只有30多个包,感觉还是挺适合新手练手的,所有在这里做个记录。

1、打开wireshark,先粗略看看这个流量包中有什么内容:

发现包中有几个值得关注的地方:

①只有两个IP:192.168.179.246、192.168.179.245

②协议只有HTTP和TCP

③HTTP包中有PSOT方法

其实这里就可以做个初步判断了,是否是简单的webshell上传?

再结合点击一个POST包看一下:

在红框中能看出这是.246在对.245上传一句话木马。

 

 

2、 跟踪包的TCP流:

看一下这一波上传都做了什么骚操作:右键那个POST包-追踪流-TCP流

 

得到这一操作的整个TCP流程:红色是.246往.245发送的包,蓝色是.245返回256的包。

 在返回包的发现,在.245的文件夹内有reverseshell.zip这个名称的包。因为文件名,我们可以猜测这个就是黑客上传的压缩包。

再在TCP流中发现菜刀z1这个参数有内容,证明菜刀在进行上传操作:

 

 

3、把二进制代码还原成为zip:

思路是把z1的中二进制内容复制到十六进制的编辑器,然后导出为zip文件。

我这里用的是Hex Fiend,把z1内容复制进去。

左边那一栏是z1的内容。

另存为a.zip,然后解压,搞定。

 

转载于:https://www.cnblogs.com/dachuanduan/p/9437160.html

weixin_30786617
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
wireshark 导出二进制文件_Wireshark之抓包文件保存
weixin_39591720的博客
11-24 4658
1. 概述     在《Wireshark之抓包原理剖析》一文中,详细讲述了Wireshark网络分析器的功能以及其抓包原理。接下来本篇文章将详细讲述如何将Wireshark网络分析器抓到的数据包以多种不同的方式进行保存。从官网可以了解到其Wireshark支持以不同格式和不同文件类型的方式来保存其主抓包窗口中的数据。2. Wireshark查看版本号     若不知当前在使用中的Wireshar...
Wireshark流量分析还原zip文件
ak.Gh0st的博客
12-28 4115
将保存类型设置为All Files,将文件名设置为压缩文件,保存即可。以下为该压缩包的请求包和响应包内容,我们需要的是响应包中的响应体。选中该http请求后,选择Media Type,右键选择。通过提示下载流量包,导入到wireshark开始分析。此处发现访问了可疑的压缩包文件。以下内容为数据取证靶场题目。即可将响应体内容导出。解压该文件得到key值。
wireshark.zip
06-29
The current stable release of Wireshark is 3.0.2. It supersedes all previous releases
Wireshark零基础使用教程(超详细)
最新发布
Python84310366的博客
07-08 2499
菜单栏:用于调试、配置工具栏:常用功能的快捷方式过滤栏:指定过滤条件,过滤数据数据包列表:核心区域,每一行就是一个数据数据包详情:数据包的详细数据数据包字节:数据包对应的字节流,二进制
Wireshark】通过wireshark抓取的流量还原文件(以zip为例)
A1_3_9_7的博客
01-12 1193
选中media Type右键, 点击导出分组字节流选项。将生成的文件进行命名,需要时什么格式就以什么格式后缀。wireshark打开流量包,通过zip关键字查找。,如有侵权,请联系删除。追踪流可查看详细信息。
Wireshark.zip
05-31
Wireshark是全球领先的网络流量分析器,并且是所有安全专业人员或系统管理员的重要资源。您可以使用此免费程序实时跟踪网络流量,这也是解决网络中问题的最佳方法。
实验名称 (实验 1:Wireshark 软件使用与 ARP 协议分析)
01-08
实验名称:Wireshark软件使用与ARP协议分析 实验目的: 本实验旨在让学习者熟悉Wireshark的基本操作,如捕获过滤器和显示过滤器的使用,以及深入理解以太网MAC帧的结构和ARP协议的工作过程。通过在有线局域网环境中...
wireshark从RTP包中提取H264裸流数据脚本
10-24
在本场景中,我们关注的是如何从RTP(Real-time Transport Protocol)数据包中提取H264和H265这两种常见的视频编码格式的裸流数据。 RTP是一种面向实时传输的应用层协议,常用于VoIP、视频会议和流媒体服务。它...
计算机网络安全技术:网络传输时的二进制.pdf
05-12
计算机网络安全技术的核心之一是理解网络...通过学习网络传输的二进制表示,以及使用工具如Wireshark进行数据包分析,我们可以更好地理解网络通信的工作原理,从而在设计安全策略或解决网络问题时做更明智的决策。
wireshark中获取h264裸码流
05-22
本文将详细介绍如何在Wireshark中获取H264裸码流,并探讨相关知识点。 1. **Wireshark基本操作** Wireshark提供了一个直观的用户界面,允许用户捕获、查看和分析网络流量。首先,你需要启动Wireshark并选择合适的...
wireshark压缩包
11-26
压缩包
Wireshark抓包软件.zip
08-05
抓包软件
网络抓包工具Wireshark(32&64位).zip
05-14
网络抓包工具Wireshark,免费 Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
Wireshark抓包全集(85种协议、类别的抓包文件).zip
11-30
Wireshark 抓包 协议 网络 Wireshark 抓包 协议 网络 工具 网络技术 网络协议
win10系统wireshark的安装.zip
05-12
本资源主要是win10系统安装wireshark和winpcap的经验,除此之外还附带了我安装的wireshark的版本和winpcap的版本资源,分享给有需要的伙伴们
wireshark-pytools:用于使用wireshark的脚本集合
06-18
线鲨工具用于使用wireshark的脚本集合m3ua-unbundle.py 关于 m3ua-unbundle 的简短介绍安装 (Ubuntu) 要运行 m3ua-unbunde.py,您需要在您的 PC 上安装 python 和wireshark。 默认包含 Python,要安装wireshark,请...
wireshark 导出二进制文件_Wireshark网络分析就这么简单,你一定会喜欢的技巧
weixin_39790102的博客
12-12 1923
一、抓包拿到一个网络包时,我们总是希望它是尽可能小的。操作一个大包相当费时,有时甚至会死机。如果让初学者分析1GB以上的包,估计会被打击得信心全无。所以抓包时应该尽量只抓必要的部分。1.只抓包头。一般能抓到的每个包的最大长度为1514字节,启用了Jumbo Frame(巨型帧)之后可达9000字节以上,而大多数时候我们只需要IP头或者TCP头就足够分析了。在Wireshark上可以这样抓到包头:单...
通过wireshark抓取的流量还原文件(以zip为例)
weixin_68177269的博客
01-11 1150
选中media Type右键, 点击导出分组字节流选项。将生成的文件进行命名,需要时什么格式就以什么格式后缀。wireshark打开流量包,通过zip关键字查找。追踪流可查看详细信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值