码迷,mamicode.com
首页 > 其他好文 > 详细

杂项题的基本解题思路——4、流量取证技术

时间:2020-10-26 10:36:43      阅读:30      评论:0      收藏:0      [点我收藏+]

标签:lin   密码   excel   数据抓取   wireshark   顺序   python   表示   协议   

杂项题的基本解题思路——4、流量取证技术

04、流量包文件分析

流量包就是说我向你传递的时候,把你传递过程中的数据抓取下来,保存成一个文件

技术图片

 流量取证技术就是说:题目会给你一个流量包,你要在流量包里面找到相应的一些文件(有时候flag值就藏在流量包的某一个位置)

①wirkshark工具

查看自己的电脑有没有安装wireshark:win+R——》输入wireshark看能不能打开

kaliLinux自带了wireshark

技术图片

 

 技术图片

 

 

技术图片

 

 

利用wirkshark工具的过滤器功能

常用的过滤命令

1、 过滤IP 如过滤源IP或者目的IP

ip.src eq x.x.x.x   过滤源ip          (eq可以写等于号==)

ip,dst eq x.x.x.x  过滤目的ip

ip.addr eq x.x.x.  过滤某个ip地址

2、 过滤端口

网页的端口一般是80端口

技术图片

 

 

tcp.port eq 80  udp.port eq 80  过滤tcp或者udp的80端口流量包

tcp.dstport == 80    只显示tcp协议的目标端口为80的流量包

tcp.srcport == 80    只显示tcp协议的源端口为80的流量包

tcp.port >=1 and tcp.port <=80

 

3、 过滤协议            

直接输入技术图片

 

 (可以先看http)

4、过滤mac地址

技术图片

 

 

5、包长度过滤

 技术图片

 

6、http模式过滤★★★★

技术图片

 

contain非常好用   类似于一个搜索功能

通常打开一个流量包,先筛选一下有没有HTTP,如果没有第二件事就是去看它大致有哪些协议,看一下它有没有包含flg、key、提示内容。。。。

 

wireshark协议分析(分级)

技术图片

 

技术图片

协议分级:

 技术图片

 技术图片

 

wireshark流汇聚:

一般是用流汇聚去追踪tcp或http的流量

 技术图片

 技术图片

 技术图片

 技术图片

 

 

②无线流量包破解密码

技术图片

 

 技术图片

 

 

③usb流量包文件分析

技术图片

 

 

1 键盘流量包抓取分析

下图中的python脚本可以将usb的leftover capture data数据映射为键盘数据(abc……)

技术图片

 

 技术图片

 

 leftover capture data数据提取方式1 :导出到excel表中(会自动变成科学计数法)《——不好用

技术图片

 

 

leftover capture data数据提取方式2:利用wireshark提供的命令行巩固tshark,可以将leftover capture data数据单独复制出来

技术图片kali和Windows都可以用

 

 

 

技术图片

 

 

2 usb鼠标流量抓取分析

技术图片

 

 技术图片

 

 脚本中倒数第三行中的flag==1表示顺序为左,flag==2表示右,分析时有时候需要改变左右。

技术图片

 

 技术图片

 

 技术图片

 

 技术图片

 

 技术图片

 

 

④https流量包文件分析

https=http(协议)+tls(套阶层)

下图中的key需要通过题目线索得到

技术图片

 

 技术图片

 

 技术图片

 

杂项题的基本解题思路——4、流量取证技术

标签:lin   密码   excel   数据抓取   wireshark   顺序   python   表示   协议   

原文地址:https://www.cnblogs.com/hsp1269/p/13866066.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!