About wireshark
About wireshark
网上有很多关于wiresahrk的使用教程,我只针对我做过的CTF题目提出自己的见解。如有不足,请指出。
一般来说,先打开流量包看一看,大致都有什么流量。然后再尝试导出或者直接对流量包进行分析。直接上题目。
0x00 迎圣诞,拿大奖-流量分析(可以直接导出HTTP)
题目链接:hahahahaha
打开流量包
放眼望去尽是tcp以及http包,http是基于tcp协议的,所以果断的导出了http。(如何导出http包,文章结尾有总结)
save all 保存在本地,看了下文件,有几个比较大的,然后就打开分析,找到了jsfuck,运行完就有结果了。(其实这部分已经不属于wireshark了)但这并不是最终的答案,他给的另一个文件里,隐藏了一个压缩包,需要导出,jsfuck运行的结果只是这个加密压缩包的答案而已,压缩包里的才是真正的flag.
0x01 DDCTF-流量分析(rsa加密)
题目链接:hahahahaha
这个流量包,我一开始做的时候,也没什么思路,导出的时候,没有http文件(当时由于我的wireshark没有更新,连邮件也导不出……,后来更新了wireshark,就导出了几个没用的邮件)。
上图:
- 然后开始下手搞,找到tcp协议,追踪tcp协议(小白可能会问为啥不追踪UDP流,那是DNS协议,解析域名的,对于做题没啥用),如下图:
注意这张图的红框部分,ASCII是编码方式,流的上下键可以切换上下的流,save as不用多说了。上面的内容就是流量包的内容。 - 一个包一个包的看,然后发现有价值的信息,找到了一个base64编码的图片,找到了两个压缩包。俩压缩包是误导的,真正有价值的是这个图片。
- base64编码的图片,解码完是一张图,上面是rsa的私钥。
- 注意:图片内容是私钥,而不是图片就是私钥。私钥:哈哈哈哈
- rsa一般是https的加密方式,https是基于ssl的加密方式,所以解密也是要通过SSL解密的。
- wireshark编辑->首选项->Protocols->SSL->导入rsa私钥
点击红色框的Edit就会出来这个弹窗,然后选择key。 - 这时候你就会发现你可以看到https的包了,答案也就在里面。
0x02 安恒杯三月赛-MISC-蜘蛛侠
题目:hahahahahaha
这个实际上是使用了wireshark命令行工具tshark。关于这个东西我也不是很了解,就百度了下,借鉴了郁离歌大佬的博客,顺便粘上随风浪子大佬写的tshark的命令详解。
这个分离命令就是:
tshark -r out.pcap -T fields -e data >out.txt对于参数,以上两篇大佬的博客都有介绍。
0x03 第三届上海市大学生网络安全大赛-MISC-流量分析
题目:hahahahaha
- 打开流量包,也没什么能导出的,只能手动的追踪TCP流,一个一个分析。发现了传递的压缩包,flag.zip,还看到了flag.txt但是无法导出,继续向后看的时候发现了提示:
很明显的看到了flag.zip以及key.log。 - 继续向后分析,在第58个包的时候,发现了key.log的内容,另存到本地。(key.log)
- 流量包里很多https的包,所以这个key百分之八十都是用来解https的,所以还是那个步骤:wireshark->编辑->首选项->Protocols->SSL->导入key.log:
- 在途中红框的部分导入key.log就把https的包给解密了,之后就可以导出http的包,查看下一步做法。
- 导出之后,发现除了一个特别大的,剩下的都是1kb的,直接16进制分析,是一个压缩包,然后再进行转压缩包,再进行下一步的解题。
关于wireshark的解题,大概我碰到的也就这几类,可能还有一些大流量分析没有涉及到,基础的使用,也就这么多。自己写了一下wireshakr的基础使用方法,后期我会再进行补充,包括更细致的讲解。如果文章存在问题,或者你有更好的建议,请联系我。
