精华内容
下载资源
问答
  • wireshark流量图
    2021-11-24 21:27:46

    解题工具

    Wireshark-win64-3.0.5→下载地址https://url71.ctfile.com/f/13238771-521808015-2ec947(访问密码:8835)

    题目

    黑客通过wireshark抓到管理员登陆网站的一段流量包(管理员的密码即是答案) 注意:得到的 flag 请包上 flag{} 提交

    解题思路

    1. 下载文件用Wireshark打开,根据题目可以分析出flag信息为管理员登陆网站时的密码,该请求方式为post类型
    http.request.method==POST
    

    在这里插入图片描述

    1. 通过工具过滤出post请求的数据,查看请求的password信息,即为flag的信息
    flag{ffb7567a1d4f4abdffdb54e022f8facd}
    

    总结

    该题解题关键在于分析请求类型进行过滤,找到对应的请求数据即可得到相应的信息

    更多相关内容
  • Wireshark流量分析

    千次阅读 2021-05-14 18:11:36
    Wireshark流量分析开始抓包wireshark过滤器表达式wireshark着色规则数据流的追踪数据包的统计分析数据包的大致结构网络分析只抓包头 开始抓包 打开wireshark后,按ctrl+K,勾选需要抓包的网卡 点击Start开始抓包 ...

    开始抓包

    打开wireshark后,按ctrl+K,勾选需要抓包的网卡
    点击Start开始抓包

    wireshark过滤器表达式

    协议过滤

    • TCP:只显示TCP协议的数据流
    • HTTP:只显示HTTP协议的数据流
    • ICMP:只显示ICMP协议的数据流
    • ARP:只显示ARP协议的数据流
    • DNS:显示DNS协议的数据流

    IP过滤

    • ip.addr = 192.168.116.138,只显示ip为192.168.116.138有关的数据流
    • ip.src = 192.168.116.138,只显示源IP地址为192.168.116.138的数据流
    • ip.dst = 192.168.116.138,只显示目标IP地址为192.168.116.138的数据流

    端口过滤

    • tcp.port == 80,只显示80端口TCP数据流
    • udp.prot == 67,只显示67端口UDP数据流
    • tcp.srcport == 80, 只显示源地址的80端口数据流
    • tcp.dstport == 80,只显示目的地址80端口数据流

    过滤HTTP协议

    • http.request.method==“GET”,显示get请求
    • http.request.method==“POST” ,显示POST请求
    • http.request.url contains admin ,显示url中包含admin的请求
    • http.request.code==404,显示状态码为404
    • http contains “FLAG”,请求或相应中包含特定内容

    连接符
    and,or
    如:tcp.port == 80 and ip.addr = 192.168.116.138

    过滤包长度

    • udp.length==20,整个UDP数据包
    • tcp.len>=20,TCP数据包中的IP数据包
    • ip.len==20,整个IP数据包
    • frame.len==20,整个数据包

    wireshark着色规则

    点开左上角视图中的着色规则就能看到

    在这里插入图片描述

    数据流的追踪

    我们的一个完整的数据流一般都是由很多个包组成的;
    所以当我们想查看某条数据包对于的数据流的话。可以选中数据,右键选择追踪流;
    里面就会有tcp流、udp流、ssl流、http流。数据包属于哪种流就选择对应的流;
    当我们选择了追踪流时,会弹出该流的完整的数据流还有这个数据流中包含的数据包,对话框下面可以选择数据流方向,顶部的过滤器就是该流的过滤规则

    在这里插入图片描述

    数据包的统计分析

    统计中的协议分级功能可以查看所选包协议的分布情况,帮助识别可疑协议,和不正常的网络应用程序

    在这里插入图片描述

    在Endpoints窗口中,可以通过排序Bytes和Tx Bytes来判断占用带宽最大的主机

    在这里插入图片描述

    Conversions窗口可以看到两个主机之间发送/接收数据包的数量、字节大小以及数据的流向情况,也可以通过排序来判断占用最大带宽的主机;
    在Conversions窗口中只能看到会话的统计情况,无法看到包的具体内容;
    这时可以使用快速过滤会话功能,过滤出想要查看的内容;
    快速过滤会话的功能在Conversions窗口中进行操作,可以对选中的会话或者非选中的会话选择数据流向进行过滤

    在这里插入图片描述

    在这里插入图片描述

    数据包的大致结构

    • 第一行:数据包整体概述
    • 第二行:链路层详细信息,主要的是双方的mac地址
    • 第三行:网络层详细信息,主要的是双方的IP地址
    • 第四行:传输层的详细信息,主要的是双方的端口号
    • 第五行:TCP或UDP是传输的DATA,DNS这是域名的相关信息

    在这里插入图片描述

    网络分析

    只抓包头

    在进行网络分析时往往只需要知道两个节点是不是能够联通,具体的传输信息并不重要,所以抓包的时候可以设置只抓包头,这样就大大减少了数据包的大小,有利于数据分析;
    设置方法:Capture(捕获)–>Options(选项)–>Snaplen(Snap长度);
    将这个值设置200以下就可以抓到所有网络层次的头信息了
    另外也可以直接点击任务栏里的快捷键,快速设置

    在这里插入图片描述
    在这里插入图片描述

    只抓必要的包

    我们可以设置抓包的filter,只抓一些感兴趣的包;
    设置方法:Capture(捕获)–>Options(选项)–>Capture Filter(捕获过滤器)
    在这里插入图片描述

    在输入框里输入规则,然后点击开始即可,比如输入
    dst host 220.181.38.148(捕获目标主机为220.181.38.148的数据包)
    220.181.38.148是ping www.baidu.com的ip地址,不同地理位置ping的ip可能不一样,然后浏览器访问百度就可以看到我们想要的捕获结果

    自动分析

    Wireshark有强大的统计分析功能,可以帮助分析人员快速统计出一些基本信息。比如点击Analyze(分析)–>Expert InfoComposite(专家信息),就可以看到数据包的中的一些不同级别的信息统计,包含重传次数、链接建立次数、网络错误等,在分析网络性能时这个功能很有作用
    在这里插入图片描述
    单击Statistics(统计)–>TCPStream Graph(TCP流图形),可以生成一些统计图表
    在这里插入图片描述

    此外还可以统计分层信息、网络会话列表、网络端点列表、ip地址统计列表、应用层数据包信息等

    搜索

    按“Ctrl+F”Wireshark也可以进行关键字搜索,选择“分组详情”后才可以搜索数据包中的内容,这样的搜索可以在CTF中也许会有意外收获

    在这里插入图片描述

    展开全文
  • wireshark流量分析

    2022-02-27 15:27:52
    wireshark流量分析
  • wireshark流量分析挑战一

    千次阅读 2022-04-11 14:15:28
    wireshark 流量分析实战一 分析详情:附加的 PCAP 属于开发工具包感染。使用您喜欢的工具对其进行分析并回答挑战问题 文章目录wireshark 流量分析实战一需要准备的一、被感染的 Windows VM 的 IP 地址是什么?二、...

    wireshark 流量分析挑战一

    分析详情:附加的 PCAP 属于开发工具包感染。你能完成下列挑战吗



    需要准备的

    工具
    wireshark
    brim
    数据包
    蓝奏云密码326q


    一、被感染的 Windows VM 的 IP 地址是什么?

    将数据包文件在wireshark 中打开, 映入眼帘的就是大量的 TCP 重传报文 [TCP Retransmission]
    没错,受害者就是 172.16.165.165 至于发生了什么不为人知的事情, 各位看官, 你细听分说;
    在这里插入图片描述

    二、被感染的 Windows VM 的主机名是什么?

    这里如果对DHCP协议比较了解的话, 应该可以想到,DHCP客户端和服务端之间发送的Inform报文中带有请求机的host name;

    那么这就很简单了,直接过滤DHCP找到在DHCP头中寻找即可
    在这里插入图片描述

    三、受感染网站的 IP 地址是什么?

    如果前面的DHCP 不了解, 这里相信大家都知道是什么协议了
    1.我们直接过滤http协议
    在这里插入图片描述
    2. 结合前面分析的受害者IP地址,可以进一步缩小分析范围,过滤以 172.16.165.165 为源的http请求
    在这里插入图片描述

    3.对这些数据包进行简单浏览发现有以下网址

    • bing.com
    • ciniholland.nl
    • youtube.com
    • adultbiz.in
    • 24corp-shop.com
    • stand.trustandprobaterealty.com.
      查看方式如下,如:bing.com 其他均相同
      在这里插入图片描述

    4.从上面的URL中,脱颖而出的是ciniholland,adultbiz,24corp-shop和stand.trustandprobaterealty。让我们对这些网站进行进一步的分析,以便我们知道哪一个受到损害。(不过他们都可能是受感染网站)

    4.1 第一个 ciniholland.nl IP of 82.150.140.30. 使用追踪流 查看之间的数据通信,TCP 流和HTTP流在这都一样

    在这里插入图片描述
    这是客户端和服务端之间的请求信息, 和前端页面信息, 不过要从这么多信息进行一条条的看,确实比较费眼睛,这里给出一些总结的操作,一般前端页面被嵌入信息, 会使用 hidden 隐藏插入的信息,或者 opacity 设置插入组件的透明度, 使得人眼无法察觉

    这里使用hidden 关键字进行搜索, 发现页面被嵌入了一个iframe 框架,并且重点向到了网站 24corp-shop.com

    在这里插入图片描述

    4.2 我们依次对其他数据包进行分析, 发现并没有被嵌入恶意代码, 不过并不能排除其他网站就没有与 24corp-shop.com 同流合污, 我们逐一查看数据包,发现上述几个网站都存在跳转关系

    在这里插入图片描述

    在这里插入图片描述
    这里提供几个恶意网址识别的

    发现只有 stand.trustandprobaterealty 没有被标注, 不过也并不能确定不是恶意网址
    在这里插入图片描述
    在这里插入图片描述

    在这里插入图片描述
    在这里插入图片描述

    4.3 最终我们分析出 受感染网站的 IP 地址是: ciniholland.nl IP :82.150.140.30

    四、提供漏洞利用工具包和恶意软件的服务器的 IP 地址是多少?

    这里我们直接将HTTP传输的文件全部导出

    在这里插入图片描述
    然后… 就直接报毒了, 不过这正是我们想要的, 直接与导出的目录进行对比
    在这里插入图片描述
    答案就是这家伙啦 stand.trustandprobaterealty IP 地址为: 37.200.69.143 的, 不知道大家还不不记得,前面的恶意网址识别, 只有这个网址识别是正常网址哦

    五、漏洞利用工具包(EK)利用的漏洞CVE编号

    直接查看windows defender 的防护记录
    在这里插入图片描述

    六、漏洞利用文件的MD5 文件哈希是什么?

    1. 我们根据windows的报毒查看是这两个
    在这里插入图片描述

    2.使用windows自带方法 Get-FileHash -Algorithm 默认是 sha256

    在这里插入图片描述

    总结

    ok, 到此为止,这一整个恶意流量分析,就大致完成了,当然发挥自己的想象力还能找出更多有意思的点 , 这是这个系列的第一篇文章, 有很多的不足之处烦请评论区讨论学习, 后续会加上对brim 这款分析工具的的介绍使用, 各位也可以自己了解下, 这款分析神器, 下一篇文章见了,哦对了, 随手点赞手有余香哦👌。

    展开全文
  • wireshark流量分析实战

    千次阅读 多人点赞 2020-04-10 16:18:18
    wireshark Wireshark(前称Ethereal)是一个网络...下面是在网上找的数据包资源,来自2018的铁人三项流量分析题目,一共有二十题,共有六个数据包,本人习惯一题一题来,不过可能是个很不好的习惯 1.黑客的IP是多少...

    wireshark

    Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。

    在这里插入图片描述

    下面是在网上找的数据包资源,来自2018的铁人三项流量分析题目,一共有二十题,共有六个数据包,本人习惯一题一题来,不过可能是个很不好的习惯

    1.黑客的IP是多少

    在这里插入图片描述

    很明显这也是我们平常干的事情phpinfo

    黑客IP:202.1.1.2

    2.服务器1.99的web服务器使用的CMS及其版本号(请直接复制)

    在这里插入图片描述

    一般网站的CMS会显示在网站底部,找到一个以192.168.1。99的响应包直接查看底部

    诺,CMS就是EasyTalk X2.0.1

    3.服务器拿到的webshell的网址(请输入url解码后的网址)

    服务器拿到webshell的网址很大可能是上传一句话拿webshell,那么设置过滤器

    http && (ip.src==202.1.1.2 || ip.dst == 192.168.1.99)
    

    在这里插入图片描述

    很明显的一句话,将url解码

    http://202.1.1.1/index.php/module/action/param1/${@print(eval($_POST[c]))}
    

    4.服务器1.99的主机名

    这里又不能用菜刀连接,也找不到攻击者执行的一些查看信息的代码,咦等等刚刚又phpinfo呀

    现在只需要验证1.99是否返回了请求,返回了请求直接查看源码

    在这里插入图片描述
    主机名:

    Linux simplefight1 2.6.32-431.el6.x86_64 #1 SMP Fri Nov 22 03:15:09 UTC 2013 x86_64
    

    5.网站根目录的绝对路径(注意最后加斜杠)

    绝对路径phpinfo里也能查到
    在这里插入图片描述

    /var/www/html/easytalk
    

    6.黑客上传的第一个文件名称是什么

    这里使用过滤器

    http && (ip.src==202.1.1.2 || ip.dst == 192.168.1.99) && http.request.method==POST
    

    在这里插入图片描述

    application/x-www-form-urlencode是是一种表单提交方式,该方式是采用urlencode的,提交的数据都是经过加密的,服务端需要decode才能正确获得数据。

    base64解码得

    /var/www/html/easytalk/tunnel.nosocket.php

    7.黑客进行内网扫描,扫描的端口都有哪些(端口从小到大,用英文逗号分隔)

    在这里插入图片描述

    这样答案很明显啦

    8.服务器2.88的ftp服务账号密码(格式:账号/密码)

    黑客需要以攻克的1.99来作为跳板来访问2.88的ftp服务器,设置过滤器

    ftp && ip.src == 192.168.1.99
    

    在这里插入图片描述

    黑客经过爆破之后拿到密码123456,用户名为administrator

    9.黑客成功登陆ftp的时间(格式:10:15:36)

    回到上题选中的部分,查看

    在这里插入图片描述

    时间为14:07:15

    10.黑客在ftp中下载的敏感文件名称是什么

    在这里插入图片描述

    发现黑客执行了一系列命令,pwd,cwd,pasv,list
    并没有下载敏感数据,移步到第三个数据包

    在这里插入图片描述

    这里很明显是下载了/phpstudy/www/config/config_db.php

    11.服务器2.88中用户名为admin_zz的web后台管理员的密码

    既然这里给出用户名,直接设置过滤器

    ip.addr == 192.168.1.99 && http contains "admin_zz"
    

    在这里插入图片描述

    明显如斯,密码为1q2w3e4r

    12.服务器2.88的mysql账号密码(格式:账号/密码)

    这里也应该是查看黑客下载的敏感文件中的内容,设置过滤器ip.addr == 192.168.1.99 && ftp-data

    在这里插入图片描述
    在这里插入图片描述

    很明显啦

    con_db_pass = “S1mp13zz”

    13.服务器2.88的mysql服务中有和admin有关的三个表,请按照黑客的查询顺序作答,使用空格分隔

    在这里插入图片描述

    根据上题可以发现这个表信息,设置过滤器

    ip.addr == 192.168.1.99 && mysql contains "met_"
    

    刚好出现了三个请求三个响应

    在这里插入图片描述

    分别查看信息

    met_admin_array,met_admin_column,met_admin_table

    14.请列出黑客设置的genreal log的绝对路径(将路径复制出来,区分大小写)

    mysql日志–>设置过滤器

    ip.addr == 192.168.1.99 && mysql
    在这里插入图片描述
    发现第一个请求报错了,报错返回如上内容,说明这里黑客希望留一个shell但是这里报错了;
    但是之后却没有报错,应该是黑客试探的结果,我习惯从后往前找,倒数第二个有发现!

    在这里插入图片描述

    绝对路径为c:/phpStudy/WWW/config/config.php

    15.路由器的品牌、型号、版本(请直接复制粘贴)

    涉及到路由器,设置就过滤器

    ip.addr == 192.168.0.1 && http
    

    找了二三四的数据包都没有,回到第一个数据包,发现

    在这里插入图片描述

    这里可以发现路由器的相关信息很明显啦

    16.列出路由器的所有IP地址(格式:从小到大,用英文逗号分隔)

    在这里插入图片描述

    还是使用上一步使用的过滤器继续分析,发现许多重复登录,应该是黑客在进行爆破

    在这里插入图片描述

    最后到这里的时候,error_code为0,此前是700,说明黑客已经爆破成功,这里需要知道所有路由器的IP地址

    只有往下分析黑客的举动找到信息

    在这里插入图片描述

    这里发现了路由器IP,总共有三个

    192.168.0.1
    202.1.1.1
    192.168.12.173

    17.在路由器的端口监控中,监控端口和被监控端口分别是多少,例,1号端口监控2/3/4号端口:1–>2,3,4

    这里提到监控端口,还是设置过滤器慢慢找

    ip.addr == 192.168.0.1 && http &&contains “port”
    

    在这里插入图片描述
    很明显了,监控端口是3,被监控是1,2

    18.路由器一共有几个接口?其中有几个WAN口启用?有几个LAN口启用(格式:用英文逗号分隔)

    这里只能说明一点,有时按顺序并不好,因为在做上面IP那道题的时候我发现有几个开放的接口信息,叫t_name

    直接过滤一下:

    在这里插入图片描述

    哦豁第三个就是,然后发现WAN1、WAN2、LAN1、LAN2这四个接口都打开了,最后这个LAN3接口是关闭的

    19.路由器的系统路由表中一共有几条?第三条的子网掩码是多少。例: 255 255.255.0则为24 (格式:用英文逗号分隔)

    ip.addr == 192.168.0.1 && http contains "gateway"
    

    在这里插入图片描述

    这里路由表一共有5条,第三条子网掩码为255.255.255.0

    20.路由器的5Gwif名称是什么,信道是多少(格式:名称信道)

    设置过滤器

    ip.addr == 192.168.0.1 && http contains "5G"
    

    在这里插入图片描述

    至此完结

    展开全文
  • wireshark流量分析高清视频资料
  • Wireshark-流量分析

    千次阅读 2019-01-04 23:53:01
    拿到这个题目的时候,首先是根据题目的要求,先下载了文件,然后发现文件的后缀名称是pcap格式的,通过百度发现这种文件需要用Wireshark来打开,于是就想到了之前学习过的,下载安装了该软件,然后打开以后是这一个...
  • wireshark
  • 中职网络安全2021年国赛Wireshark流量分析题目+capture.pcapng数据包文件
  • WireShark流量分析(暴力破解)

    千次阅读 2021-02-08 20:01:02
    首先查看整个流量包,发现基本上为TCP和HTTP的流量数据。 依据可知,是大量tcp,少量http,从少的开始 我们熟知对于web中HTTP协议中的POST方式的危害性最大,接...如上可知,数据包的长度与其他的数据流量长度不一
  • -R 根据上一次进度继续破解 -S 使用SSL协议连接 -s 指定端口 ...-L 指定用户名字典(文件) ...-o 输出文件 -t 指定多线程数量,默认为16个线程 -vV 显示详细过程 ...service 指定服务名(telnet ftp pop3 mssql mysq
  • WireShark流量分析(任意文件上传)

    千次阅读 2021-02-12 22:40:58
    由下可知,数据帧都是在做一个正常的网页图片的GET请求,有一些少量的POST请求,那下一步再次筛选POST请求。 这下结果显而易见了,大部分POST请求都在访问一个html文件,而唯独有一个数据帧在对upload文件夹进行...
  • Wireshark(前称Ethereal)是一个网络封包分析软件。 wireshark的特点是开源, 免费,跨平台,同时图形话界面,使用起来还是十分方便的。
  • Wireshark:网络分析工具 Wireshark 为了让大家更容易「看得见」 TCP,我搭建不少测试环境,并且数据包抓很多次,花费了不少时间,才抓到比较容易分析的数据包。 接下来丢包、乱序、超时重传、快速重传、选择性...
  • Wireshark教程:解密HTTPS流量

    千次阅读 2022-07-20 11:12:58
    本教程面向进行流量分析的安全专业人员。本教程假定你已经熟悉Wireshark的基本使用,并使用Wireshark3.x版。
  • 流量抓取工具(wireshark)
  • 流量分析(wireshark

    千次阅读 2021-10-22 15:45:16
    wireshark过滤器表达式 协议过滤 TCP:只显示TCP协议的数据流 HTTP:只显示HTTP协议的数据流 ICMP:只显示ICMP协议的数据流 ARP:只显示ARP协议的数据流 DNS:显示DNS协议的数据流 IP过滤...
  • 2021-05-03Wireshark流量包分析

    千次阅读 2021-05-03 10:15:45
    目录 WEB扫描分析 后台目录爆破分析 ...通过给出的流量包获取攻击者使用的WEB扫描工具。 解题思路: 常见的WEB扫描器有Awvs,Netsparker,Appscan,Webinspect,Rsas(绿盟极光),Nessus,We...
  • Wireshark Wireshark进行流量审核
  • 网络安全·Wireshark抓取流量

    千次阅读 2022-04-10 13:42:32
    一、Wireshark Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 在...
  • 如何用Wireshark软件对app进行流量分析
  • Wireshark流量分析中的使用

    千次阅读 2021-11-03 19:56:09
    CTF流量分析中wireshrk的基本使用
  • 攻击者可以对证书进行修改,攻击的效果是:内网可以访问服务器的web,外网不能访问,就是因为服务器没有受信任的证书。...这种攻击可以从流量分析中看出,如果服务器没有提供证书,就有这种可能 ...
  • wireshark解密https流量

    2022-08-16 14:35:28
    2、谷歌浏览器启动参数带入"C:\Program Files\Google\Chrome\Application\chrome.exe"--ssl-key-log-file=c:\users\admin\documents\ssl-key.log,把预主密钥保存...1、wireshark首选项-协议配置-tls-导入证书私钥。...
  • Wireshark分析流量1

    2020-11-26 22:16:25
    大致浏览,发现是不同地址在访问192.168.10.5:80,...如上,用post上传了图片,还有点大,而且看到了熟悉的image/jpeg,MIME限制扩展名绕过,打开看看 由此可知,攻击者使用了MIME限制扩展名绕过上传了图片马 ...
  • Wireshark分析https流量

    2022-09-13 10:32:45
    wireshark分析https流量
  • 首先拿到这个流量包,还是先对整个包中的帧进行初步的查看,发现为大量的TCP数据帧和HTTP数据帧。 网络攻击一般来自于web,是web那就一定有http,接下来对http进行筛选 发现为大量的GET请求,GET请求在实质性的...
  • 流量分析工具Wireshark32.zip

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 14,289
精华内容 5,715
关键字:

wireshark流量图

友情链接: guoqian.rar