wireshark常见分析

转载于https://www.cnblogs.com/sn1per/p/12553064.html

https://www.cnblogs.com/csnd/p/12332421.html

直接看上面大佬url就行了     笔记是给自己看的

数据链路层：

筛选mac地址为04:f9:38:ad:13:26的数据包----eth.src == 04:f9:38:ad:13:26

筛选源mac地址为04:f9:38:ad:13:26的数据包----eth.src == 04:f9:38:ad:13:26

网络层：

筛选ip地址为192.168.1.1的数据包----ip.addr == 192.168.1.1

筛选192.168.1.0网段的数据---- ip contains "192.168.1"

筛选192.168.1.1和192.168.1.2之间的数据包----ip.addr == 192.168.1.1 && ip.addr == 192.168.1.2

筛选从192.168.1.1到192.168.1.2的数据包----ip.src == 192.168.1.1 && ip.dst == 192.168.1.2

传输层：

筛选tcp协议的数据包----tcp

筛选除tcp协议以外的数据包----!tcp

筛选端口为80的数据包----tcp.port == 80

筛选12345端口和80端口之间的数据包----tcp.port == 12345 && tcp.port == 80

筛选从12345端口到80端口的数据包----tcp.srcport == 12345 && tcp.dstport == 80

应用层：

特别说明----http中http.request表示请求头中的第一行（如GET index.jsp HTTP/1.1），http.response表示响应头中的第一行（如HTTP/1.1 200 OK），其他头部都用http.header_name形式。

筛选url中包含.php的http数据包----http.request.uri contains ".php"

筛选内容包含username的http数据包----http contains "username"

1）ip.addr==192.168.5.6，只显示192.168.5.6这个地址相关数据包

2）frame.len<=128，只查看长度小于128字节的数据包

3）http，只显示http数据包

4）ip.addr==192.168.5.6 &&?tcp.port==15566，只显示与192.168.5.6有关且与tcp端口15566有关的数据包

1.分析扫描器

http  协议

2.登陆后台99%使用的是POST方法，直接使用过滤器过滤一下，然后追踪TCP流

http.request.method=="POST"

3.查询黑客所使用的账户密码

http.request.method=="POST" and ip.src==192.168.94.59 and http contains "rec=login"

4.webshell文件名和内容

http.request.method=="POST" and ip.src==192.168.94.59 and http

过滤
http contains "<?php @eval"
tcp contains "<?php @eval"

5.robots中的flag

直接导出http对象，在文本过滤器中选择robots.txt，将文件保存下来，即可获得flag

6.数据库密码

直接过滤http数据包，查看数据包的末尾，如果数据库登陆成功，那么http响应码应该为200，逐一查看响应码为200的数据包，即可找到数据库密码

http.response.code==200

7.hash_code

打开webtwo.pacp，查看前几条MySql的请求和响应

SELECT value FROM `dou_config` WHERE name = 'hash_code'

8.账户密码

在分组详情中直接搜索邮箱名称，即可获取密码

9.网卡配置ip

过滤 tcp contains "eth0"

10.黑客使用什么账户登录email

综合来看mailtwo.pcap和mailtwo1.pcap两个数据包。 首先在mailtwo.pcap中过滤http，第三条数据的Cookie中发现了 login_name=wenwenni字段，并且是action=logout

 继续向下读取数据，发现下一个mail系统的数据，然后又到了登陆界面的数据，在其中发现了密码的加密函数：

取出来发现是AES的CBC加密，填充格式为ZeroPadding，密钥为字符串1234567812345678的hash值，偏移量为1234567812345678

在下一次的数据请求中，发现登录用户依然为，因为这个用户刚刚推出，所以猜测是使用cookie登录的，查看一下返回数据中出现{"success":true}，代表登陆成功

语句过滤

(http contains "{\\"success\\":true}" or http.request.method=="POST") and ip.addr==192.168.94.59

显示出post请求成功的返回结果，发现是在爆破，并且直到mailtwo.pcap的最后也未爆破成功。于是打开mailtwo1.pcap，用相同的过滤条件试试，发现几条数据，从后往前看，发现No.18152是登陆成功的返回结果，那对应的No.17126则就是正确的加密后的密码

11.黑客获取vpn和ip

第一个包在尝试登陆vpn，第二个包登陆上了vpn，然后第二个包 从 统计->对话 发现10.3.4.3和10.3.4.96发出的包比较多，而且过滤一下smb发现10.3.4.96是smb服务器，筛选10.3.4.55（另一个流量大点的地址）发现是10.3.4.3先ping它的，基本可以确定10.3.4.3就是黑客的vpn IP。