Wireshark教程和3個(gè)實(shí)例

10Wireshark教程一、界面二、生疏數(shù)據(jù)包網(wǎng)絡(luò)的7層次構(gòu)造：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、表示層、會(huì)話層、應(yīng)用層物理層數(shù)據(jù)幀概況：MACMAC地址：是網(wǎng)卡的物理地址33組是廠家對(duì)網(wǎng)卡的編號(hào)IP地址是我們定義的，可以任憑更改ARP協(xié)議就是用來(lái)對(duì)二者進(jìn)展轉(zhuǎn)換的IP包頭部信息其它內(nèi)容三、過(guò)濾器設(shè)置過(guò)濾器的區(qū)分捕獲過(guò)濾器：用于打算將什么樣的信息記錄在捕獲結(jié)果中。需要在開(kāi)頭捕獲前設(shè)置。顯示過(guò)濾器：在捕獲結(jié)果中進(jìn)展具體查找。他們可以在得到捕獲結(jié)果后隨便修改。那么我應(yīng)當(dāng)使用哪一種過(guò)濾器呢？?jī)煞N過(guò)濾器的目的是不同的。捕獲過(guò)濾器是數(shù)據(jù)經(jīng)過(guò)的第一層過(guò)濾器，它用于掌握捕獲數(shù)據(jù)的數(shù)量，以避開(kāi)產(chǎn)生過(guò)大的日志文件。顯示過(guò)濾器是一種更為強(qiáng)大〔簡(jiǎn)單〕的過(guò)濾器。它允許您在日志文件中快速準(zhǔn)確地找到所需要的記錄。兩種過(guò)濾器使用的語(yǔ)法是完全不同的。顯示過(guò)濾器snmp||dns||icmp //顯示SNMP或DNS或ICMP封包。ip.addr== //顯示來(lái)源或目的IP地址為的封包。ip.src==02 //顯示來(lái)源是02的數(shù)據(jù)包ip.src!=orip.dst!= //顯示來(lái)源不為或者目的不為的封包。ip.src!=andip.dst!= //顯示來(lái)源不為并且目的IP不為的封包。tcp.port==25 //顯示來(lái)源或目的TCP端口號(hào)為25的封包。tcp.dstport==25 //TCP25的封包。tcp.flags //TCP標(biāo)志的封包。tcp.flags.syn==0x02 //TCPSYN標(biāo)志的封包。紅色紅色綠色背景表示語(yǔ)法正確，但是可能沒(méi)有結(jié)果。1、使用字段名來(lái)過(guò)濾在過(guò)濾器中輸入：.request.method==”GET” ，將顯示使用GET方法獵取數(shù)據(jù)的全部包2、顯示一個(gè)地址范圍的數(shù)據(jù)3、使用比較運(yùn)算符4、使用端口過(guò)濾器5IP地址過(guò)濾留意是兩個(gè)等于符號(hào)6IP的數(shù)據(jù)將過(guò)濾條件改為 .request.method==”POST”&&contains”flag”過(guò)濾一下數(shù)據(jù)分析與取證-attack使用Wireshark查看并分析WindowsXP桌面下的attack.pcapng數(shù)據(jù)包文件，通過(guò)分析數(shù)據(jù)包attack.pcapng找出黑客的IP地址，并將黑客的IP地址作為FLAG〔形式：[IP地址]〕提交；答案：[02]POSTQ.php的文件，內(nèi)容是一句話木馬，所以其source就是黑客地址POST的包。在過(guò)濾器中輸入：.request.method==”POST”ip.src==02連續(xù)查看數(shù)據(jù)包文件attack.pacapng，分析出黑客掃描了哪些端口FLAG〔形式：[端口名1，端口名2，端口名3n]〕從低到高提交；解題思路：一般的掃描行為，是以ARP播送包的方式去探測(cè)網(wǎng)絡(luò)中有哪些主機(jī)是處于開(kāi)機(jī)狀態(tài)。掃描行為是掃描一個(gè)IP地址，因此就會(huì)向該網(wǎng)段中全部的IPARP播送包，包括沒(méi)有主機(jī)使用的IP地址。當(dāng)檢測(cè)到某一個(gè)IP所對(duì)應(yīng)的主機(jī)是開(kāi)機(jī)狀態(tài)后，就會(huì)進(jìn)一步對(duì)該主機(jī)進(jìn)展端口探測(cè)，以獲知該主機(jī)哪些端口是開(kāi)放的，哪些端口有漏洞存在。sourceTCP的包：ip.src==02andtcp參考答案：21,23,80,445,3389,5007端口解析：21FTP〔文件傳輸〕協(xié)議代理效勞器常用端口號(hào)；23Telnet〔遠(yuǎn)程登錄〕協(xié)議代理效勞器常用端口號(hào)80是掃瞄器網(wǎng)頁(yè)使用的端口。協(xié)議代理效勞器常用端口號(hào)：80/8080/3128/8081/9098WIN20233389。445端口是使用共享文件夾的端口Microsoft-DS5007wsmssl：wsm(web-basedsystemmanager)web的系統(tǒng)治理程序,它是一個(gè)客戶-效勞器方式的圖形化程序.它的圖形界面可以使用戶治理本地系統(tǒng)和遠(yuǎn)程系統(tǒng)連續(xù)查看數(shù)據(jù)包文件attack.pacapng分析出黑客最終獲得的用戶名是什么，并將用戶名作為FLAG〔形式：[用戶名]〕提交；解題思路：可使用過(guò)濾器：ip.src==02and 找到login.php，這是黑客登錄時(shí)使用的頁(yè)面。或者使用過(guò)濾器：contains“username“andip.addr=02參考答案：Lancelot連續(xù)查看數(shù)據(jù)包文件attack.pacapng分析出黑客最終獲得的密碼FLAG〔形式：[密碼]〕提交；參考答案：12369874連續(xù)查看數(shù)據(jù)包文件attack.pacapng〔式：[一句話密碼]〕提交；wireshark的數(shù)據(jù)包，找到一個(gè)比較可疑的訪問(wèn),如圖~~~(Q.php有很大可疑是木馬,雙擊翻開(kāi)數(shù)據(jù)包一探到底)1IP就是02。。?？墒褂眠^(guò)濾器：ip.src==02and疑問(wèn)：會(huì)不會(huì)是答案：[alpha]疑問(wèn)：會(huì)不會(huì)是此題的另一種解法：直接用記事本翻開(kāi)數(shù)據(jù)包文件，查找POST。連續(xù)查看數(shù)據(jù)包文件attack.pacapng分析出黑客下載了什么文件，并將文件名及后綴作為FLAG〔形式：[文件名.后綴名]〕提交；53POST類型的數(shù)據(jù)包一個(gè)一個(gè)翻開(kāi)看看翻開(kāi)其次個(gè)數(shù)據(jù)包，覺(jué)察有一個(gè)flag.zip的文件,那么到底是不是這個(gè)文件呢,連續(xù)看下一個(gè)數(shù)據(jù)包翻開(kāi)第三個(gè)數(shù)據(jù)包,可以看出,flag.zip。。PKZIP文件的頭部應(yīng)當(dāng)沒(méi)記錯(cuò)答案：flag.zip連續(xù)查看數(shù)據(jù)包文件attack.pacapng提取出黑客下載的文件FLAG〔文件內(nèi)容]〕提交；winhex。?；蛘遙inwalk進(jìn)展分別flag.txt，將內(nèi)容提交下載的文件，流向應(yīng)當(dāng)是從效勞器到黑客的ip地址。ip.src==01andip.dst==02and答案：flag{Mannersmakethman}學(xué)問(wèn)點(diǎn)：查看下載的文件中是否包含其他文件的時(shí)候一般都需要kali里面的一個(gè)工具binwalk-eattack.pacapng直接執(zhí)行“binwalk所要查看的文件的路徑“binwalk-e文件路徑〔與原文件在同一名目下〕Wireshark數(shù)據(jù)包分析-capture3〔100分〕WiresharkPYsystem20231capture3.pcap數(shù)據(jù)包文件，找出黑客登錄被攻擊效勞器網(wǎng)站后臺(tái)使用的賬號(hào)密碼，并將黑客使用的賬號(hào)密碼作為Flag值〔用戶名與密碼之間以英文逗號(hào)分隔，例如：〕9分〕〔login.php〕過(guò)濾，查找登錄頁(yè)面，failuresuccess的才可以。Flag:“:///“admin,連續(xù)分析數(shù)據(jù)包c(diǎn)apture3.pcap，找出黑客攻擊FTP效勞器后獵取到的三個(gè)文件，并將獵取到的三個(gè)文件名稱作為g值〔a/b/〕〔7分〕解題：過(guò)濾器：ftp3txt文件，且后面有個(gè)包顯示“Transfercomplete”LDWpassword.txt/py-jiaoyi.txt/aliyunPassword.txt連續(xù)分析數(shù)據(jù)包c(diǎn)apture3.pcap，找出黑客登錄效勞器后臺(tái)上傳的一句話木馬，并將上傳前的一句話木馬的文件名稱作為g值〔〕3分〕這題還是可以用記事本翻開(kāi)，查找POST可以看到，一句話木馬的密碼為：Cknife ，文件名稱是trojan.php還有這句話：trojan.phpUploadSuccess。上傳成功連續(xù)分析數(shù)據(jù)包c(diǎn)apture3.pcapFlag值〔abc12〕3分〕連續(xù)分析數(shù)據(jù)包c(diǎn)apture3.pcap，找出黑客上傳一句話木馬后下載的效勞器關(guān)鍵文件，并將下載的關(guān)鍵文件名稱作為g5分〕不會(huì)？過(guò)濾，查看上傳完木馬后的數(shù)據(jù)包，將z1base64解密這幾個(gè)包應(yīng)當(dāng)都是下載這個(gè)文件的，最終的一個(gè)包顯示了數(shù)據(jù)。capture3.pcap，找出黑客其次次上傳的木馬文件Flag〔例如：abc12〕1分〕POSTGETGET方式提交的密碼Flag: adminPHP連續(xù)分析數(shù)據(jù)包，并將該命令作為g9分〕不會(huì)？200OK的包，第一個(gè)顯示的數(shù)據(jù)應(yīng)當(dāng)是netstat-an顯示的結(jié)果ping命令：ping28沒(méi)有找到執(zhí)行命令的語(yǔ)句，只看到結(jié)果第一次上傳完木馬后也有幾個(gè)結(jié)果，200OK應(yīng)當(dāng)是把木馬上傳到這個(gè)名目了，下面有一個(gè)dir的命令顯示應(yīng)當(dāng)是黑客查看了一下木馬文件是否在這個(gè)名目中所以，這題的參考答案是：netstat-anpingdiricmp過(guò)濾，查看狀態(tài)欄中顯示的統(tǒng)計(jì)結(jié)果capture3.pcapICMP懇求，F(xiàn)lag〔icmp過(guò)濾，查看狀態(tài)欄中顯示的統(tǒng)計(jì)結(jié)果抓包題-logsWiresharkKalilogs.pcapnglogs.pcapng找出惡意用戶名目9FLAG〔形式：[robots.txt]〕提交：[star.php]過(guò)濾器：連續(xù)查看數(shù)據(jù)包文件logs.pcapng，分析出惡意用戶掃描了哪些端口，并將全部的端口作為FLAG〔形式：[端口123n]〕從低到高提交：[21,80,445,1433,3306,3389,5000]IPTCP協(xié)議過(guò)濾過(guò)濾器：ip.src==0andtcptcp：傳輸掌握協(xié)議連續(xù)查看數(shù)據(jù)包文件g〔形式：[robots.txt]〕提交：[name.txt]續(xù)查看數(shù)據(jù)包文件logs.pcapngFLAG〔形式：[/root/