精华内容
下载资源
问答
  • wireshark文件还原

    千次阅读 2020-05-17 16:39:21
    Wireshark的功能上来看,只是监听网络流量信息并完整的记录下来,起到还原现场的作用。Winhex是一款非常优秀的16进制收费的编辑器。本节使用的是winhex的评估版本,可以满足本实验需要。如果想对winhex有更深层次的...

    Wireshark的功能上来看,只是监听网络流量信息并完整的记录下来,起到还原现场的作用。Winhex是一款非常优秀的16进制收费的编辑器。本节使用的是winhex的评估版本,可以满足本实验需要。如果想对winhex有更深层次的了解,建议去官方网站上进行详细了解。

     

    实验情景:

      黑客A通过ARP欺骗,使用wireshark获取了整个局域网内的网络流量信息。无意之中,他发现有人在某个网站上上传了一份文件。但是他不知道怎么样通过wireshark去还原这份文件,没办法,他将监听到的数据包保存为了一份wireshark的监听记录,将通过以下三个任务完成那份上传文件的还原。

     

    打开桌面上的实验数据包

     

     

     

     

    使用wireshark的filter模块对数据包进行过滤

     

     

    观察过滤的数据包,看到upload怀疑是上传页面

     

     

     

    进一步过滤post数据包

     

     

     

     

    确定post包是否上传了文件,如果上传了文件则将数据dump下来

     

    进一步分析数据包,发现确实是上传了文件

     

     

    并且由于数据包较大,TCP协议对其进行了切片,分成了5个片,点击frame可以看到每个片的内容,通过wireshark的流式会话将其还原,可以直接在一个包里面看到所有数据

     

    由于其中包含了服务器响应部分,将其过滤为只剩请求

     

     

    保存原始文件,现在信息原始信息文件已经拿到,选择raw类型表示用二进制方式保存

     

     

     

    将保存的原始文件用winhex打开

     

     

     

    可以看到里面是有多余的请求信息等,通过wireshark可以看到,在图片数据前面有两个换行符,换行符用十六进制表示是 0D 0A.因为有两个,所以,我们在图片附近寻找0D 0A 0D 0A.后面的部分就表示图片的开始。

     

     

     

     

    这个时候需要去掉多余的信息,从数据最开始处按住alt+1开始选择,一直到0A这里,按alt+2表示选取结束(直接用鼠标选择也可以),按住del删除多余数据包

     

     

     

     

     

    然后在到数据尾部,有一个换行符,同样删除掉

     

     

     

    然后ctrl+s保存

     

     

    将文件改名为png后缀打开

     

     

     

     

     

     

     

     

     

     

    展开全文
  • 本示例主要介绍了wireshark文件还原技术,通过本实验的学习,你能够了解wireshark的使用方法, 能够通过分析还原网络数据发送现场,并将发送的信息通过wireshark和winhex还原成原文件。 【WiresharkWireshark从...

    简介:

    本示例主要介绍了wireshark文件还原技术,通过本实验的学习,你能够了解wireshark的使用方法,
    能够通过分析还原网络数据发送现场,并将发送的信息通过wireshark和winhex还原成原文件。
    

    【Wireshark】

    Wireshark从功能上来看,只是监听网络流量信息并完整的记录下来,起到还原现场的作用。Winhex是一款非常优秀的16进制收费的编辑器。

    题目

    黑客A通过ARP欺骗,使用wireshark获取了整个局域网内的网络流量信息。
    无意之中,他发现有人在某个网站上上传了一份文件。
    但是他不知道怎么样通过wireshark去还原这份文件,
    没办法,他将监听到的数据包保存为了一份wireshark的监听记录,
    将通过以下三个任务完成那份上传文件的还原。
    

    (1)对抓到的包进行显示过滤,找到关键信息。

    (2)对信息进行跟踪,确定上传文件的TCP流,并保存为二进制原始文件。

    (3)对文件中上传文件的信息进行处理,去掉多余的包头和包尾,得到原始文件。

    任务描述:使用wireshark导入监听数据包,对数据进行显示过滤,提取出来关键信息。

    1. 打开catchme.pcapng,双击即可。会发现数据记录一共有148条。
      如果单纯的从开始到结尾去一条一条的审计,是非常费力的事情。
      而且实际操作过程中,大部分情况会多于148条记录。
      在这里插入图片描述
    2. 此处,利用Wireshark提供的强大的过滤显示功能。
      在filter中可以定义显示的数据包类型。
      此处上传时访问的是网站,因此在filter中输入http进行协议过滤,
      输入回车或者点击工具栏旁边的“APPLY”按钮,就可以完成Http协议数据包的过滤显示。
      在这里插入图片描述
    3. 从题目我们可以明确,上传时访问的是个网站,因此我们需要进行协议过滤。
      在filter中输入http,表示我们要显示所有使用http协议的数据包。
      输入回车,或者点击旁边的APPLY按钮,就可以进行显示过滤。
      在这里插入图片描述

    从图上下方我们可以看到,数据包由原来的148个变成了32个。这样就很容易帮我们分析了。

    1. 仔细分析,我们会在末尾左右的第143条数据记录中的info中看到upload这个词,我们怀疑这条就是涉及到上传的数据包。
      在这里插入图片描述
      如果你在此之前有些编写网站的经验,就会知道上传文件提交可以使用post一个表单的形式。
      所以,你也可以使用包过滤显示,选出所有使用post方法提交的数据包。我们可以输入http.request.method==”POST”进行包过滤。
      这时候的显示如下:
      在这里插入图片描述
      看到了吧,这时候只显示了唯一一条记录,就是我们刚才找到的序号为143的记录,是不是快了很多啊。
      因此,掌握数据包过滤,是熟练掌握wireshark的必备技能之一。

    任务描述:确定POST这条数据包是否上传了文件,若存在则将数据dump出来。

    1. 虽然我们看到了有upload关键字,有post方法,但是我们不能确定是不是真的就是上传文件的那个请求。我们来分析一下。双击该行。弹出协议分析框。点击+号,将子栏展开。在这里插入图片描述
      我们可以看到,确实是上传了文件,而且文件名是bingo.png。原来他上传的是一张图片。在上方红色部分,我们可以看到由于文件比较大,TCP协议对其进行了切片,一共切了5个片。我们点击下方的各个Frame,就可以看到每个包中的内容。

    问题来了,能不能将这几个切片还原成一个流式会话,这样我们就能看到一个会话过程,而不是需要一个一个的去点击。

    Wireshark还真可以做到。

    1. 关闭这个界面,回到我们过滤后的那个POST包,右键Follow TCP Stream在这里插入图片描述
      这时候我们会看到:在这里插入图片描述
      整个会话都被还原了出来。
      我们看到了png的原始信息。继续往下拉,我们会看到有关蓝色的显示,这是服务器给我们的回应。
      我们的图片信息保存在请求部分,因此可以过滤掉响应部分。在这里插入图片描述
      因为文件肯定比响应大,所以我们选择6010那个。这时候就没有响应部分出现了。

    2. 保存原始文件,以便下一步处理。
      我们已经知道,请求部分中包含了文件的原始信息。因此,我们可以先保存下来,然后处理一下,得到原始文件。

      我们选择raw类型进行保存,表示使用二进制形式保存文件。
      在这里插入图片描述
      保存为任意格式的文件,这里我们保存为temp.bin

    任务描述:使用winhex对文件进行最终处理,并保存文件。

    1. 将刚才保存的temp.bin用winhex打开。

    会看到,文中包含请求信息和我们的图片信息,以及文件结尾的尾部信息。我们需要做的事情是确定图片文件的原始信息头和尾,去掉多余部分。在这里插入图片描述
    在这里插入图片描述
    2. 回到wireshark中,会看到我们刚才的tcp stream流中,关于图片的头部分在这里插入图片描述
    在content-type: image/x-png后面有两个换行符,然后开始我们的原始文件。换行符用十六进制表示是 0D 0A.因为有两个,所以,我们在图片附近寻找0D 0A 0D 0A.后面的部分就表示图片的开始。

    1. 回到winhex中,我们找到了上述数字在这里插入图片描述
      这时候我们需要去掉图片以上的部分。在00000000偏移处点击alt+1,表示选块开始。
      在这里插入图片描述
      在我们找到的0D 0A 0D 0A处的最后一个0A处点击alt+2.表示选块结束。这时候,我们就选中了图片之前的多余部分。在这里插入图片描述
      按下delete键,选择yes。
      在这里插入图片描述
      这时候文件中的多余头部已经被删除在这里插入图片描述
    2. 回到wireshark中,我们看看图片传送完毕之后的尾部部分在这里插入图片描述
      我们可以看到,这次是一个换行符。后面有些文件结束标志-------------,我们同样删除它们。

    在这里插入图片描述
    这时候我们的文件中就仅仅是原始图片的内容了。Ctrl+S保存。在这里插入图片描述
    最激动人心的一步来了。将我们的temp.bin改为temp.png,打开看下:在这里插入图片描述
    祝贺你,已经完成了我们本节课的实验,拿下神秘的key~~~

    展开全文
  • 使用工具: WireShark WinHex 1.打开pcap文件 对数据流进行筛选 利用ctrl+f打开或Edit/编辑查找分组 选择分组字节流、字符串,筛选框输入“jpg" 回车查找,得到筛选后的数据流 追踪流 选择任意结果的一行右键 ...

    使用工具: WireShark WinHex

    1.打开pcap文件
    在这里插入图片描述
    2. 对数据流进行筛选
    利用ctrl+f打开或Edit/编辑查找分组
    1选择分组字节流、字符串,筛选框输入“jpg"
    回车查找,得到筛选后的数据流
    3. 追踪流
    选择任意结果的一行右键
    ->追踪流->TCP流
    在这里插入图片描述
    4. 得到结果如图
    修改“显示和保存数据为”-——原始数据
    另存为在这里插入图片描述
    选择路径, 图片后缀名为.jpg在这里插入图片描述
    得到的图片但是打不开
    在这里插入图片描述
    5. 打开WinHex
    选择文件->打开->选择刚刚保存的jpg文件

    在这里插入图片描述
    在这里插入图片描述
    因为正常jpg文件是从“FF D8 FF E0 00…”开始的
    所以我们将“FF D8 FF E0 00…”前面的数据都删除掉
    在这里插入图片描述
    6. 保存修改后的文件 打开图片
    在这里插入图片描述

    完成

    展开全文
  • 提取报文中的图片和视频文件

           PCAP 报文就是抓取实际在网络中传输的图片,视频等数据,然后以 PCAP 格式存储形成的文件。有时候会遇到将 PCAP 中的码流还原成相应的图片,视频等原有格式的需求。例如运营商可能需要将一些监控的数据进行还原,来判定用户行为是否违法等。本内容就抛砖引玉,以几个场景为例来讲解一下如何借助 Wireshark 自动化的完成相关文件的还原。

           使用 Wireshark Lua 插件还原 SSL报文中的数字证书。
           使用 Wireshark Lua 插件还原HTTP报文中的图片。
           使用 Wireshark Lua 插件还原优酷网报文中的视频。

           上述内容详见 村中少年 的gitchat,地址见这里

           本文为CSDN村中少年原创文章,转载记得加上小尾巴偶,博主链接这里

    展开全文
  • 1、wireshark抓包,过滤http协议,可以看到get 2017_PDF.pdf 2、追踪此数据流,选择服务器-客户端方向 3、存储为pdf文件 4、使用winhex或者其他hex工具,打开刚才存储的1212.pdf文件,同时打开一个正常的pdf文件...
  • wireshark提取数据,RGB值还原图片

    万次阅读 2016-10-24 21:47:02
    今天做了个misc题,是pcapng数据包,wireshark打开后看了下数据很多,先套路一下用linux 的strings打出各种字符串。发现没有flag字样。然后想到是里面藏有数据,就查找http协议过滤出POST数据包。 过滤规则 ...
  • 但是他不知道怎么样通过wireshark还原这份文件,没办法,他将监听到的数据包保存为了一份wireshark的监听记录,将通过以下三个任务完成那份上传文件的还原。 1)对抓到的包进行显示过滤,找到关键信息。 2)对信息...
  • 我已经把所需要的包抓出来了,但是需要根据seq重组排序,具体怎么实现?有代码最好,谢谢!!!
  • Wireshark系列之7 利用WinHex还原文件

    千次阅读 2018-08-17 14:37:34
    接下来我们利用WinHex从保存的原始文件中将上传的图片还原出来。 将之前保存的temp.bin用WinHex打开,可以看到文件中包含HTTP请求信息以及我们的图片信息,还有文件结尾的尾部信息。我们需要做的事情是确定图片文件...
  • Wireshark提取离线包数据中的文件图片、视频等信息,通过wireshark lua插件来实现
  • 我在本机使用wireshark进行抓包。 做了如下动作: 1、使用foxmail邮件客户端发送邮件;... 2、通过wireshark抓取的包还原接受邮件的内容和附件 3、通过wireshark抓取的包还原FTP上传的文件。 谢谢!
  • 1. 例如我这里打开了一个WireShark的离线包,需要从中提取出一张图片 2. 我们知道要提取的内容为图片格式.jpg,对离线包数据进行筛选 1.显示过滤器选择字符串 2.分组详情改选择分组字节流 3.筛选条件输入jpg。...
  • 接下来我们利用WinHex从保存的原始文件中将上传的图片还原出来。将之前保存的temp.bin用WinHex打开,可以看到文件中包含HTTP请求信息以及我们的图片信息,还有文件结尾的尾部信息。我们需要做的事情是确定图片文件的...
  • 这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、...
  • wireshark抓图

    2020-11-18 01:59:02
    **今天我要做的实验就是用wireshark对QQ好友发送图片,利用wireshark和winhex结合进行图片还原。 这次的实验利用了wireshark和winhex进行抓图。** 接下来就是实验的过程啦! 实验步骤如下: **1.**首先打开...
  • wireshark应用 github地址: github wireshark使用 wireshark视图以及各个字段说明 分析包的详细信息 后期会通过到处文本的方式进行注释,前期先使用图片,这样容易用颜色区分 在包的详细信息界面一般如下: Frame ...
  • 由 ftp 文件 还原 问题 引出的 包的丢失 进行的 简要分析。   Understanding [TCP ACKed unseen segment] [TCP Previous segment not captured]   That very well may be a false ...
  • wireshark使用

    2019-06-21 16:24:40
    Wireshark是一款图形界面的网络嗅探器,支持多种平台,是网络流量分析的利器。它的创始人是Gerald Combs,前身是Ethereal,作为开源项目经过众多开发者的完善它已经成为使用量最大的安全工具之一。最近刚把...
  • Wireshark 抓包 Wireshark抓取结果 如图邮件服务6所示,这里因为有张图片,明显可以看出传输了大量数据。 追踪TCP流 追踪pop的发送的报文内容,如图邮件服务7所示 接下里就是老套路,Base64解密 首先是邮件内容解密...
  • Wireshark使用技巧

    千次阅读 2018-04-16 15:31:47
    前言Wireshark是一款图形界面的网络嗅探器,支持多种平台,是网络流量分析的利器。它的创始人是Gerald Combs,前身是Ethereal,作为开源项目经过众多开发者的完善它已经成为使用量最大的安全工具之一。最近刚把...
  • 最佳答案 wireshark 是一款网络数据抓包软件。能够嗅探到一些诸如:POP3、FTP的登录密码、还能够分析抓取到的各种数据包。但是一般来说,还原抓取到的各种格式的信息包还是比较困难的
  • Wireshark系列之6 数据流追踪

    万次阅读 2018-08-17 13:47:59
    以下内容主要是引用自合天网安中的一个实验案例:黑客A通过ARP欺骗,使用...但是他不知道怎么样通过Wireshark还原这份文件,没办法,他将监听到的数据包保存为了一份Wireshark的监听记录,打算去向你请教。你能...
  • 报文捕获分析工具Wireshark简介

    千次阅读 2019-12-16 20:40:26
    介绍报文捕获分析工具Wireshark以及一些概念
  • 文章,PCAP 报文中图片视频的自动化还原方法,所需实例报文:https://gitbook.cn/gitchat/activity/5b02acccdc2ebb6e52fe9aa7
  • Wireshark lua 插件简介

    千次阅读 2020-01-05 10:26:58
    windows上的脚本使用很简单,到安装目录通过tshark的-x命令加载脚本即可,如图2是还原pcap中图片的脚本: 图2 其次我经常在Linux上将Lua脚本配合shell脚本一起使用,但是linux由于本身系统的原因,有较多的限制...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,033
精华内容 413
关键字:

wireshark图片还原