wireshark的使用

About wireshark

About wireshark

网上有很多关于wiresahrk的使用教程,我只针对我做过的CTF题目提出自己的见解。如有不足,请指出。


一般来说,先打开流量包看一看,大致都有什么流量。然后再尝试导出或者直接对流量包进行分析。直接上题目。

0x00 迎圣诞,拿大奖-流量分析(可以直接导出HTTP)

题目链接:hahahahaha

打开流量包
image
放眼望去尽是tcp以及http包,http是基于tcp协议的,所以果断的导出了http。(如何导出http包,文章结尾有总结)
image
save all 保存在本地,看了下文件,有几个比较大的,然后就打开分析,找到了jsfuck,运行完就有结果了。(其实这部分已经不属于wireshark了)但这并不是最终的答案,他给的另一个文件里,隐藏了一个压缩包,需要导出,jsfuck运行的结果只是这个加密压缩包的答案而已,压缩包里的才是真正的flag.

0x01 DDCTF-流量分析(rsa加密)

题目链接:hahahahaha

这个流量包,我一开始做的时候,也没什么思路,导出的时候,没有http文件(当时由于我的wireshark没有更新,连邮件也导不出……,后来更新了wireshark,就导出了几个没用的邮件)。
上图:
image

  1. 然后开始下手搞,找到tcp协议,追踪tcp协议(小白可能会问为啥不追踪UDP流,那是DNS协议,解析域名的,对于做题没啥用),如下图: image
    image
    注意这张图的红框部分,ASCII是编码方式,流的上下键可以切换上下的流,save as不用多说了。上面的内容就是流量包的内容。
  2. 一个包一个包的看,然后发现有价值的信息,找到了一个base64编码的图片,找到了两个压缩包。俩压缩包是误导的,真正有价值的是这个图片。
    image
  3. base64编码的图片,解码完是一张图,上面是rsa的私钥。
    image
  4. 注意:图片内容是私钥,而不是图片就是私钥。私钥:哈哈哈哈
  5. rsa一般是https的加密方式,https是基于ssl的加密方式,所以解密也是要通过SSL解密的。
  6. wireshark编辑->首选项->Protocols->SSL->导入rsa私钥
    image
    点击红色框的Edit就会出来这个弹窗,然后选择key。
  7. 这时候你就会发现你可以看到https的包了,答案也就在里面。
    image

0x02 安恒杯三月赛-MISC-蜘蛛侠

题目:hahahahahaha
这个实际上是使用了wireshark命令行工具tshark。关于这个东西我也不是很了解,就百度了下,借鉴了郁离歌大佬的博客,顺便粘上随风浪子大佬写的tshark的命令详解

这个分离命令就是:

tshark -r out.pcap -T fields -e data >out.txt

对于参数,以上两篇大佬的博客都有介绍。

0x03 第三届上海市大学生网络安全大赛-MISC-流量分析

题目:hahahahaha

  1. 打开流量包,也没什么能导出的,只能手动的追踪TCP流,一个一个分析。发现了传递的压缩包,flag.zip,还看到了flag.txt但是无法导出,继续向后看的时候发现了提示:
    image
    很明显的看到了flag.zip以及key.log。
  2. 继续向后分析,在第58个包的时候,发现了key.log的内容,另存到本地。(key.log)
  3. 流量包里很多https的包,所以这个key百分之八十都是用来解https的,所以还是那个步骤:wireshark->编辑->首选项->Protocols->SSL->导入key.log:
    image
  4. 在途中红框的部分导入key.log就把https的包给解密了,之后就可以导出http的包,查看下一步做法。
    image
  5. 导出之后,发现除了一个特别大的,剩下的都是1kb的,直接16进制分析,是一个压缩包,然后再进行转压缩包,再进行下一步的解题。

关于wireshark的解题,大概我碰到的也就这几类,可能还有一些大流量分析没有涉及到,基础的使用,也就这么多。自己写了一下wireshakr的基础使用方法,后期我会再进行补充,包括更细致的讲解。如果文章存在问题,或者你有更好的建议,请联系我。

wireshark的基本使用(个人总结)


Reprint please specify: wh1te wireshark的使用

Previous
namp的使用 namp的使用
About nmap About nmap根据最近实际渗透测试的经验总结的,也借鉴了几位网上大佬的讲解,写了下自己的心得。 先对nmap做个了解。 0x00 前言nmap是一款网络端口探测/扫描器,在渗透测试以及日站里都有很大
2018-04-23
Next
Linux日志分析 Linux日志分析
On the analysis of Linux Log Linux这是我博客第一篇有关于linux的文章,所以杂七杂八都写一点吧。突然很想在每篇博客上都放一个表情包,哈哈哈,感觉自己很皮啊。 0x01 Linux简介Linux是一套免费
2018-04-11
TOC