wireshark流量分析密码-学习笔记
原创
©著作权归作者所有:来自51CTO博客作者小龙在山东的原创作品,请联系作者获取转载授权,否则将追究法律责任
题目描述
黑客通过wireshark抓到管理员登陆网站的一段流量包(管理员的密码即是答案)
流量抓包文件:https://xpro-adl.91ctf.com/userdownload?filename=流量分析.zip&type=attach
解题思路
用wireshark打开流量文件,过滤出http和post请求:
http && http.request.method == "POST"
wireshark常用过滤方法:
过滤IP
如源IP或者目标x.x.x.x
ip.src eq x.x.x.x or ip.dsteqx.x.x.x
或者ip.addr eq x.x.x.x
过滤端口
tcp.port eq 80 or udp.port eq 80
tcp.dstport== 80 # 只显tcp协议的目标端口为80
tcp.srcport== 80 # 只显tcp协议的源端口为80
tcp.port>= 1 and tcp.port<= 80
过滤协议
tcp/udp/arp/icmp/http/ftp/dns/ip
…
过滤MAC
eth.dst==A0:00:00:04:C5:84 #过滤目标mac
包长度过滤
udp.length== 26 # 这个长度是指udp本身固定长度8加上udp下面那块数据包之和。
tcp.len>= 7 # 指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len== 94 # 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len== 119 # 整个数据包长度,从eth开始到最后
http模式过滤
http.request.method== "GET"
http.request.method== "POST"
http.request.uri=="/img/logo-edu.gif"http contains"GET"
http contains"HTTP/1."
http.request.method== "GET" && http contains "User-Agent:"
http模式过滤
http.request.method== "GET"
http.request.method== "POST"
http.request.uri=="/img/logo-edu.gif"
http contains"GET"
http contains"HTTP/1."
http.request.method== "GET" && http contains "User-Agent:"
更多:http://www.freebuf.com/column/153197.html