wireshark 流量抓包例题重现

@[TOC](这里写目录标题

  • wireshark抓包方法
    • wireshark组成
  • wireshark例题

wireshark抓包方法

wireshark组成

在这里插入图片描述
wireshark的抓包组成为:分组列表、分组详情以及分组字节流。
在这里插入图片描述
上面这一栏想要显示,使用:Ctrl+F

我们先看一下最上侧的搜索栏可以使用的方法。
在这里插入图片描述

http.request.method == get  //抓取http的request的get请求
http.request.method == post  //抓取http的request的post请求
http.request.uri == "/img/logo-edu.gif"  //抓取http请求的url为/img/logo-edu.gif的数据包
http contains "FLAG"  //抓取内容为FLAG的数据包
ip.addr == 192.168.224.150  //抓取包含次ip地址的数据包
ip.src == 192.168.224.150  //抓取源地址为此地址的数据包
ip.dts == 192.168.224.150  //抓取目的地址为此地址的数据包
eth.dst == A0:00:00:04:c5:84  //抓取目标MAC地址的数据包
eth.addr == A0:00:00:04:c5:84  //抓取包含此MAC的数据包
tcp.dstport == 80  //抓取tcp目的端口为80的数据包
tcp.srcport == 80  //抓取tcp源端口为80的数据包
udp.srcport == 80  //抓取udp源端口为80的数据包组合:
ip.addr == 192.168.224.150 && tcp.dstport == 80  //抓取ciip地址并且使用tcp目的端口为80的数据包arp/icmp/ftp/dns/ip  //抓取协为arp/icmp...的数据包udp.length == 20  //抓取长度为20的udp数据包
tcp.len>=20  //抓取长度大于20的tcp数据包
ip.len == 20  //抓取长度为20的ip数据包
frame.len == 20  //抓取长度为20的数据包tcp.stream eq 0 //抓取tcp的分组0

我们不难看出,上侧搜索栏十分灵活,基本已经满足我们抓包要求。

那么我们再看一下下面我们添加的一栏。
在这里插入图片描述
最前面是指三个框,也就是搜索的位置
在这里插入图片描述
然后是宽窄,这里的宽窄是指编码方式
在这里插入图片描述
接下来就是区分大小写,后面的一栏就非常重要了,这里我们主要介绍字符串和正则。
我们知道如果我们想要搜索一些http内容,我们可以使用http,似乎和上侧差不多,但这里搜索的是字符串,而上面则是协议。
正则则更简单了,如果我们想要过滤一些文件,比如php:/.php$/更加快速。

这里是搜索的内容,我们再看另一个点,追踪数据流。
在这里插入图片描述
这里的追踪流,可以是TCP也可以是HTTP,这里打开一个看一下就好。
在这里插入图片描述
wireshark的使用就介绍到这。

wireshark例题

案例一
题目要求:
1.黑客攻击的第一个受害主机的网卡IP地址
2.黑客对URL的哪一个参数实施了SQL注入
3.第一个受害主机网站数据库的表前缀 (加上下划线例如abc_)

第一个比较简单,我们从http入手,进行查看。
在这里插入图片描述
查看一下数据包
在这里插入图片描述

很明显,我们可以看到我们映射出的公网ip是受害方202.1.1.1。
那么这个地址对应的私网IP就是被攻击方,也就是受害方。

也就是192.168.1.8

第二个,SQL注入参数
在这里插入图片描述
sqlamp是扫描器,而参数则在下面的内容中,也就是list

第三个,数据库表前缀
我们对数据的TCP流进行追踪
在这里插入图片描述
报错注入,分析数据
那么前缀就是ajtuc_

案例二
题目要求
1.黑客第一次获得的php木马的密码是什么
2.黑客第二次上传php木马是什么时间
3.第二次上传的木马通过HTTP协议中的哪个头传递数据

查询post传参
在这里插入图片描述存在一个特殊的文件/kkkaaa.php文件,检查第一个文件
在这里插入图片描述

追踪一下,TCP流
在这里插入图片描述在这里插入图片描述

这里我们就可以看到,此时的密码就是“zzz”

将下面的z0,进行base64解码
在这里插入图片描述
dirname可以用来检测所处路径和下面的所有文件

再过滤,将过滤内容全部看一下
在这里插入图片描述
基本都是执行命令的

2、第二次上传木马的时间
此时的958的大数据文件,比较醒目,我们查看一下,追踪一下TCP流
在这里插入图片描述
此时z0和z1都是base64编码,而z2是16进制,不难看出这里就是木马文件的上传,所以时间就是数据包里记录的时间

3、HTTP的哪个头部传递数据
我们将z2的16进制拷贝一下,十六进制转码,查看一下数据
在这里插入图片描述

我们看着里面的内容非常混乱,原因是将php代码进行了混淆,不易发现。
先简单还原一下。
在这里插入图片描述

上面是进行了replace替换操作,
在这里插入图片描述

执行替换之后,出现了create_function.
create_function可以在内部执行eval,所以可以实现执行命令操作。
$x也是进行了一个拼接。

似乎还是不容易查看,那么我们再努力一下
在这里插入图片描述
在这里插入图片描述

分析:
传了两个值,
然后函数是异或操作
先得出字符串长度,然后,将索引相同的值进行异或操作,拼接起来,最后复制
接收了两个数据,一个是HTTP_REFERER,一个是HTTP_ACCEPT_LANGUAGE,
然后两个数据判断进行与运算
成立,将REFERER字段进行拆解,通过url的组成拆解
在这里插入图片描述query字段取出复制q
在这里插入图片描述

下面再将q进行拆分
在这里插入图片描述

去除之后,正则匹配,匹配language,

在第一次匹配,匹配到了zh-CN,因为,的原因结束了,第一次匹配结束
第二次匹配,匹配到了zh;q=0.8,第二次匹配结束
第三次匹配,匹配到en;q=0.6。第三次匹配结束
这里还存在(),正则里面代表组,所以正则匹配之后,生成了一个数组,里面的内容,数组赋值给了m
在这里插入图片描述

然后又进入判断。
成立,创建了一个SESSION,赋值,创建两个字符串。
m数组内容拼接i,然后i和前面的值进行MD5,取前三位,再赋值,后面亦如此
定义一个空字符串。循环拼接
判断h在字符串p的索引,成立,i放入数组,此时i没有值,截取p的从第3位到最后

再判断
成立,拼接进数组的i里面,此时i有值了
判断是否在里面,再判断,拼接
先截取,再替换,再base64解码,最后异或解密。这一步至关重要
这一步,主要是进行数据解压缩

在生成木马时,进行了异或,base64封装,再替换,最后拼接,完成压缩。想要解压缩,就要反其道而行之。

在这里插入图片描述

referer数据十分可疑,language比较正常,但是也是需要配置,也就是说两者缺一不可,所以最后,使用的是referer头和language传递数据

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/108312.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

LAMP架构详解+构建LAMP平台之Discuz论坛

LAMP架构详解构建LAMP平台之Discuz论坛 1、LAPM架构简介1.1动态资源与语言1.2LAPM架构得组成1.3LAPM架构说明1.4CGI和astcgi1.4.1CGI1.4.2fastcgi1.4.3CGI和fastcgi比较 2、搭建LAMP平台2.1编译安装apache httpd2.2编译安装mysql2.3编译安装php2.4安装论坛 1、LAPM架构简介 1.…

Mysql--技术文档--基本概念--《世界上最流行的关系型数据库之一》

官方网址 MySQL 阿丹: 作为关系型数据库管理的老大哥,一个合格的程序员多多少少一定要了解mysql库。 官方解释 MySQL是一个关系型数据库管理系统,由瑞典MySQL AB 公司开发,属于 Oracle 旗下产品。MySQL 是最流行的关系型数据库管…

SpringCache

SpringCache是Spring提供的一个缓存框架,在Spring3.1版本开始支持将缓存添加到现有的spring应用程序中,在4.1开始,缓存已支持JSR-107注释和更多自定义的选项。 Spring Cache利用了AOP,实现了基于注解的缓存功能,并且进…

智慧能源助力绿色发展

居民生活是碳排放的重要贡献源,作为居民生活的主要场所,社区是低碳城市建设的重要空间载体。推动低碳社区建设,逐渐打造低碳生活方式,是低碳社会建设的重要内容之一。智慧新能源公共设施助力碳中和,用于各社区改造&…

CSDN编程题-每日一练(2023-08-27)

CSDN编程题-每日一练(2023-08-27) 一、题目名称:异或和二、题目名称:生命进化书三、题目名称:熊孩子拜访 一、题目名称:异或和 时间限制:1000ms内存限制:256M 题目描述: …

【广州华锐互动】VR沉浸式体验红军长征路:追寻红色记忆,传承红色精神

在历史的长河中,长征无疑是一段充满艰辛和英勇的伟大征程。为了让更多的人了解这段历史,我们利用虚拟现实(VR)技术,为您带来一场沉浸式的体验,重温红军万里长征的壮丽篇章。 一、踏上长征之路 戴上VR眼镜&a…

【沐风老师】如何在3dMax中将3D物体转化为样条线构成的对象?

在3dMax中如何把三维物体转化为由样条线构成的对象?通常这样的场景会出现在科研绘图或一些艺术创作当中,下面给大家详细讲解一种3dmax三维物体转样条线的方法。 第一部分:用粒子填充3D对象: 1.创建一个三维对象(本例…

linux操作系统的权限的深入学习(未完)

1.Linux权限的概念 Linux下有两种用户:超级用户(root)、普通用户。 超级用户:可以再linux系统下做任何事情,不受限制 普通用户:在linux下做有限的事情。 超级用户的命令提示符是“#”,普通用户…

华为OD七日集训第2期 - 按算法分类,由易到难,循序渐进,玩转OD(文末送书)

目录 一、适合人群二、本期训练时间三、如何参加四、7日集训第2期五、精心挑选21道高频100分经典题目,作为入门。第1天、逻辑分析第2天、字符串处理第3天、数据结构第4天、递归回溯第5天、二分查找第6天、深度优先搜索dfs算法第7天、动态规划 六、集训总结1、《代码…

SSM框架的学习与应用(Spring + Spring MVC + MyBatis)-Java EE企业级应用开发学习记录(第三天)动态SQL

动态SQL—SSM框架的学习与应用(Spring Spring MVC MyBatis)-Java EE企业级应用开发学习记录(第三天)Mybatis的动态SQL操作 昨天我们深入学习了Mybatis的核心对象SqlSessionFactoryBuilder,掌握MyBatis核心配置文件以及元素的使用,也掌握My…

java八股文面试[数据结构]——集合框架

Java集合体系框架 Java集合类主要由两个根接口Collection和Map派生出来的。 Collection派生出了三个子接口: Map接口派生: Map代表的是存储key-value对的集合,可根据元素的key来访问value。 因此Java集合大致也可分成List、Set、Queue、Map…

美创科技荣获“2023年网络安全优秀创新成果大赛—杭州分站赛”两项优胜奖

近日,由浙江省互联网信息办公室指导、中国网络安全产业联盟(CCIA)主办,浙江省网络空间安全协会承办的“2023年网络安全优秀创新成果大赛-杭州分站赛”正式公布评选结果。 经专家评审,美创科技报名参赛的解决方案—“医…

什么是回调函数(callback function)?

聚沙成塔每天进步一点点 ⭐ 专栏简介⭐ 回调函数(Callback Function)⭐ 示例⭐ 写在最后 ⭐ 专栏简介 前端入门之旅:探索Web开发的奇妙世界 记得点击上方或者右侧链接订阅本专栏哦 几何带你启航前端之旅 欢迎来到前端入门之旅!这…

SSM框架的学习与应用(Spring + Spring MVC + MyBatis)-Java EE企业级应用开发学习记录(第五天)MyBatis的注解开发

SSM框架的学习与应用(Spring Spring MVC MyBatis)-Java EE企业级应用开发学习记录(第五天)MyBatis的注解开发 ​ 昨天我们深入学习了MyBatis多表之间的关联映射,了解掌握了一对一关联映射,一对多关联映射,嵌套查询方…

Python 潮流周刊#17:Excel 终于支持 Python 了、Meta 重磅开源新项目、Mojo 新得 1 亿美元融资

你好,我是猫哥。这里每周分享优质的 Python、AI 及通用技术内容,大部分为英文。标题取自其中两则分享,不代表全部内容都是该主题,特此声明。 本周刊由 Python猫 出品,精心筛选国内外的 250 信息源,为你挑选…

Proteus软件安装包分享(附安装教程)

目录 一、软件简介 二、软件下载 一、软件简介 Proteus软件是一款电路设计和仿真的综合性软件,由Labcenter公司开发。它提供了一个交互式的图形界面,用户可以在其中构建电路、仿真结果并实时观察仿真结果。 1、Proteus的历史和演变 Proteus软件最初于…

Golang struct 结构体注意事项和使用细节

结构体所有字段在内存当中是连续的 type Point struct {x, y int }type Rect struct {leftUp, rightDown Point }func main() {//r1会在内存当中有四个整数r1 : Rect{leftUp: Point{x: 1,y: 2,},rightDown: Point{x: 3,y: 4,},}//r1有四个int,在内存当中是连续分布的…

HTTP 框架修炼之道 | 青训营

Powered by:NEFU AB-IN 文章目录 HTTP 框架修炼之道 | 青训营 走进 HTTP 协议HTTP 框架的设计与实现应用层中间件层路由设计协议层 传输层(网络层)1. BIO(Blocking I/O):2. NIO(Non-blocking I/O):区别&…

MyBatis 的关联关系配置 一对多,一对一,多对多 关系的映射处理

目录 一.关联关系配置的好处 二. 导入数据库表: 三. 一对多关系:-- 一个订单对应多个订单项 四.一对一关系:---一个订单项对应一个订单 五.多对多关系(两个一对多) 一.关联关系配置的好处 MyBatis是一…

高阶数据结构并查集

目录: 并查集的概念代码实现 LeetCode例题 并查集的概念 将n个不同的元素划分成一些不相交的集合。开始时,每个元素自成一个单元元素集合,然后按一定的规律将归于同一组元素的集合合并。在此过程中反复遇到查询某一个元素属于那个集合的运算…