流量分析
1.流量分析是什么?
网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。
CTF比赛中,通常比赛中会提供一个包含流量数据的 PCAP 文件,进行分析。
2.数据包分析
一般情况下,非HTTP协议的网络分析,在服务器端用tcpdump比较多,在客户端用wireshark比较多,两个抓包软件的语法是一样的。
4.宝刀初现
Wireshark捕获任何类型的网络数据包。同时wireshark作为一个开源项目,来自全世界的开发者不断的优化wiresharkwireshark是用C语言进行编写的。C语言的好处是直接操作内存,效率高https://wizardforcel.gitbooks.io/wireshark-manual/content/(中文使用文档)5.宝刀长这个样子
6.这个包到底有多少协议
Protocol Hierarchy 选项Statistics选项中的Protocol Hierarchy 选项中包含此数据包出现的所有协议
7.到底谁和谁对话
Conversations选项Statistics选项中的Conversations选项中包含了谁和谁进行了通信
事不过三,其余的大家自己研究。
统统过滤
字符串过滤:
常用过滤:
过滤ip,如源IP或者目标x.x.x.x:ip.src eq xxxx or ip.dst eq xxxx 或者 ip.addr eq xxxx
过滤端口:tcp.port eq(等于) 80 or udp.port eq 80
过滤MAC:eth.dst == MAC地址
协议过滤:直接在Filter框中直接输入协议名即可,http udp dns
HTTP过滤
http模式过滤http.request.method="POST" 过滤全部POST数据包http.request.uri=="/img/logo-edu.gif"http contains"GET" 模糊匹配 http头中有这个关键字http contains"HTTP/1." 版本号http.request.method=="GET" http contains"User-Agent:"实践是检验真理的唯一标准
1.发现异常2.指纹识别3.明文传输4.图片提取一双明亮的大眼睛:
明文传输
指纹识别
其余常用指纹
Awvs:acunetix_wvs_security_test acunetixacunetix_wvs acunetix_testAcunetix-Aspect-Password:Cookie:acunetix_wvs_security_test X-Forwarded-Host:acunetix_wvs_security_test X-Forwarder-For:acunetix_wvs-security_test Host:acunetix_wvs_security_test1.找到上传图片的数据包
2.追踪TCP流,选中右键追踪TCP流。
3.点击保存,使用winhex打开。删除红框中的东西,保存打开即可。
等级提升
1.目录扫描2.一句话木马3.流量包解密 目录扫描1.分析流量包,看到是进行目录扫描
2.在最后发现可疑操作。
3.使用HTTP导出数据,使用php进行解压。
1.由目录看出,应该是一句话木马上传之后
2.追踪流量发现为中国菜刀的流量
3.继续追踪发现有rar文件和一个png文件。提取即可
流量包解密
1.打开如下。
2.先破解无线密码
使用aircrack-ng.exe shipin.cap检查包信息得到无线的ESSID 0719
使用aircrack-ng.exe shipin.cap -w password.txt破解WPA密码
知道了无线ESSID和密码。然后解密数据包。然后用airdecap-ng.exe shipin.cap -e 0719 -p 88888888利用ESSID和WPA密码进行解密
1.直接搜索ftp,发现三个文件
2..把文件提取出来看看。追踪TCP保存出来
3.尝试伪加密,解开。09改成00
4.然而flag没在这里
5.还有一个key.log.能发现这是一份NSS Key Log Format的文件,而这个文件是能解密出 Wireshark 里面的 https 流量的。把他保存出来,然后在以密钥发方式导入(Edie- preferences- SSL)
JMC ----胖丫