- 苏煜程
- 031803108
一、实验目的
- 掌握Wireshark的使用、能够使用Wireshark进行简单的协议分析
- 熟练定义Wireshark过滤器,以便从数据包中找到所需要的信息
二、实验原理
Wireshark是一款图形界面的网络嗅探器,支持多种平台,作为开源项目经过众多开发者的完善,Wireshark已经成为使用量最大的网络安全工具之一
利用Wireshark分析数据包,基本流程包括:数据包筛选、数据包搜索、数据包还原、数据提取四个部分
数据包筛选功能是wireshark的核心功能,例如可以根据IP地址、MAC地址、端口等特定值筛选数据包,例如输入命令ip.dst==202.106.3.25,可以按筛选出目的IP为202.106.3.25的数据包。也可以按特定协议如HTTP,Telnet等筛选数据包,例如:
- 指定筛选HTTP请求方法为GET的流量包:http.request.method== “GET”
- 指定筛选HTTP请求方法为POST的流量包:http.request.method==“POST”
- HTTP请求或响应中包含特定内容:http contains “FLAG” ,筛选HTTP内容中包含FLAG的流量包
- http.request.uri==“/img/logo-edu.gif” 则会筛选HTTP请求的URL为/img/logo-edu.gif的流量包
Wireshark的搜索功能支持正则表达式、字符串、十六进制等方式进行搜索,通常情况下可以直接在wireshark界面按“Ctrl+F”,使用字符串方式进行关键字搜索。搜索栏提供分组列表、分组详情和分组字节流三个选项,允许选择不同选项进一步在对数据包内容进行搜索
数据包还原:wireshark具有追踪数据流功能,可以将HTTP或TCP 流量集合并还原成原始数据,例如选择想要还原的数据包,右键菜单选择“追踪流”→TCP流/UDP流/SSL流/HTTP流,可以在弹出窗口看到被还原的流量信息
Wireshark支持提取通过HTTP传输(上传/下载)的文件内容,方法如下:
选中HTTP文件传输流量包,在分组详情中找到data或者Line-based text data:text/html层,右键菜单选择导出分组字节流,最后点击Save as按钮导出文件
因此在实际应用中,可以先利用:协议 contains “key”形式的过滤规则,过滤出包含字符串key的指定协议数据包,之后再对这些数据包右键菜单选择“追踪流”;追踪流量需要耐心分析,尤其注意寻找可能隐藏键信息的文件,如:HTML文件、压缩文件、脚本文件、文本文件、图片文件等,根据需要导出文件内容进行分析。更多wireshark使用方法,参见参考链接以及wireshark官方用户指南 https://www.wireshark.org/docs/wsug_html_chunked/
三、实验题目
分析流量,获取格式为:flag_hctf{xxxxxxx}的字符串
提示:追踪TCP流,找到python脚本,阅读、修改并执行该脚本以获取flag
四、实验环境
- Windows 7系统或以上、连接Internet的主机
- 需要使用的工具:wireshark
- 参考链接:
五、实验步骤及结果
搜索和flag有关的页面
另存网页打开
解析md5码
获得一串网址打开
扫码获得