Wireshark教程和3個實例

10Wireshark教程一、界面二、生疏數(shù)據(jù)包網(wǎng)絡的7層次構造：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層、表示層、會話層、應用層物理層數(shù)據(jù)幀概況：MACMAC地址：是網(wǎng)卡的物理地址33組是廠家對網(wǎng)卡的編號IP地址是我們定義的，可以任憑更改ARP協(xié)議就是用來對二者進展轉換的IP包頭部信息其它內容三、過濾器設置過濾器的區(qū)分捕獲過濾器：用于打算將什么樣的信息記錄在捕獲結果中。需要在開頭捕獲前設置。顯示過濾器：在捕獲結果中進展具體查找。他們可以在得到捕獲結果后隨便修改。那么我應當使用哪一種過濾器呢？兩種過濾器的目的是不同的。捕獲過濾器是數(shù)據(jù)經過的第一層過濾器，它用于掌握捕獲數(shù)據(jù)的數(shù)量，以避開產生過大的日志文件。顯示過濾器是一種更為強大〔簡單〕的過濾器。它允許您在日志文件中快速準確地找到所需要的記錄。兩種過濾器使用的語法是完全不同的。顯示過濾器snmp||dns||icmp //顯示SNMP或DNS或ICMP封包。ip.addr== //顯示來源或目的IP地址為的封包。ip.src==02 //顯示來源是02的數(shù)據(jù)包ip.src!=orip.dst!= //顯示來源不為或者目的不為的封包。ip.src!=andip.dst!= //顯示來源不為并且目的IP不為的封包。tcp.port==25 //顯示來源或目的TCP端口號為25的封包。tcp.dstport==25 //TCP25的封包。tcp.flags //TCP標志的封包。tcp.flags.syn==0x02 //TCPSYN標志的封包。紅色紅色綠色背景表示語法正確，但是可能沒有結果。1、使用字段名來過濾在過濾器中輸入：.request.method==”GET” ，將顯示使用GET方法獵取數(shù)據(jù)的全部包2、顯示一個地址范圍的數(shù)據(jù)3、使用比較運算符4、使用端口過濾器5IP地址過濾留意是兩個等于符號6IP的數(shù)據(jù)將過濾條件改為 .request.method==”POST”&&contains”flag”過濾一下數(shù)據(jù)分析與取證-attack使用Wireshark查看并分析WindowsXP桌面下的attack.pcapng數(shù)據(jù)包文件，通過分析數(shù)據(jù)包attack.pcapng找出黑客的IP地址，并將黑客的IP地址作為FLAG〔形式：[IP地址]〕提交；答案：[02]POSTQ.php的文件，內容是一句話木馬，所以其source就是黑客地址POST的包。在過濾器中輸入：.request.method==”POST”ip.src==02連續(xù)查看數(shù)據(jù)包文件attack.pacapng，分析出黑客掃描了哪些端口FLAG〔形式：[端口名1，端口名2，端口名3n]〕從低到高提交；解題思路：一般的掃描行為，是以ARP播送包的方式去探測網(wǎng)絡中有哪些主機是處于開機狀態(tài)。掃描行為是掃描一個IP地址，因此就會向該網(wǎng)段中全部的IPARP播送包，包括沒有主機使用的IP地址。當檢測到某一個IP所對應的主機是開機狀態(tài)后，就會進一步對該主機進展端口探測，以獲知該主機哪些端口是開放的，哪些端口有漏洞存在。sourceTCP的包：ip.src==02andtcp參考答案：21,23,80,445,3389,5007端口解析：21FTP〔文件傳輸〕協(xié)議代理效勞器常用端口號；23Telnet〔遠程登錄〕協(xié)議代理效勞器常用端口號80是掃瞄器網(wǎng)頁使用的端口。協(xié)議代理效勞器常用端口號：80/8080/3128/8081/9098WIN20233389。445端口是使用共享文件夾的端口Microsoft-DS5007wsmssl：wsm(web-basedsystemmanager)web的系統(tǒng)治理程序,它是一個客戶-效勞器方式的圖形化程序.它的圖形界面可以使用戶治理本地系統(tǒng)和遠程系統(tǒng)連續(xù)查看數(shù)據(jù)包文件attack.pacapng分析出黑客最終獲得的用戶名是什么，并將用戶名作為FLAG〔形式：[用戶名]〕提交；解題思路：可使用過濾器：ip.src==02and 找到login.php，這是黑客登錄時使用的頁面?；蛘呤褂眠^濾器：contains“username“andip.addr=02參考答案：Lancelot連續(xù)查看數(shù)據(jù)包文件attack.pacapng分析出黑客最終獲得的密碼FLAG〔形式：[密碼]〕提交；參考答案：12369874連續(xù)查看數(shù)據(jù)包文件attack.pacapng〔式：[一句話密碼]〕提交；wireshark的數(shù)據(jù)包，找到一個比較可疑的訪問,如圖~~~(Q.php有很大可疑是木馬,雙擊翻開數(shù)據(jù)包一探到底)1IP就是02。。。可使用過濾器：ip.src==02and疑問：會不會是答案：[alpha]疑問：會不會是此題的另一種解法：直接用記事本翻開數(shù)據(jù)包文件，查找POST。連續(xù)查看數(shù)據(jù)包文件attack.pacapng分析出黑客下載了什么文件，并將文件名及后綴作為FLAG〔形式：[文件名.后綴名]〕提交；53POST類型的數(shù)據(jù)包一個一個翻開看看翻開其次個數(shù)據(jù)包，覺察有一個flag.zip的文件,那么到底是不是這個文件呢,連續(xù)看下一個數(shù)據(jù)包翻開第三個數(shù)據(jù)包,可以看出,flag.zip。。PKZIP文件的頭部應當沒記錯答案：flag.zip連續(xù)查看數(shù)據(jù)包文件attack.pacapng提取出黑客下載的文件FLAG〔文件內容]〕提交；winhex。?；蛘遙inwalk進展分別flag.txt，將內容提交下載的文件，流向應當是從效勞器到黑客的ip地址。ip.src==01andip.dst==02and答案：flag{Mannersmakethman}學問點：查看下載的文件中是否包含其他文件的時候一般都需要kali里面的一個工具binwalk-eattack.pacapng直接執(zhí)行“binwalk所要查看的文件的路徑“binwalk-e文件路徑〔與原文件在同一名目下〕Wireshark數(shù)據(jù)包分析-capture3〔100分〕WiresharkPYsystem20231capture3.pcap數(shù)據(jù)包文件，找出黑客登錄被攻擊效勞器網(wǎng)站后臺使用的賬號密碼，并將黑客使用的賬號密碼作為Flag值〔用戶名與密碼之間以英文逗號分隔，例如：〕9分〕〔login.php〕過濾，查找登錄頁面，failuresuccess的才可以。Flag:“:///“admin,連續(xù)分析數(shù)據(jù)包capture3.pcap，找出黑客攻擊FTP效勞器后獵取到的三個文件，并將獵取到的三個文件名稱作為g值〔a/b/〕〔7分〕解題：過濾器：ftp3txt文件，且后面有個包顯示“Transfercomplete”LDWpassword.txt/py-jiaoyi.txt/aliyunPassword.txt連續(xù)分析數(shù)據(jù)包capture3.pcap，找出黑客登錄效勞器后臺上傳的一句話木馬，并將上傳前的一句話木馬的文件名稱作為g值〔〕3分〕這題還是可以用記事本翻開，查找POST可以看到，一句話木馬的密碼為：Cknife ，文件名稱是trojan.php還有這句話：trojan.phpUploadSuccess。上傳成功連續(xù)分析數(shù)據(jù)包capture3.pcapFlag值〔abc12〕3分〕連續(xù)分析數(shù)據(jù)包capture3.pcap，找出黑客上傳一句話木馬后下載的效勞器關鍵文件，并將下載的關鍵文件名稱作為g5分〕不會？過濾，查看上傳完木馬后的數(shù)據(jù)包，將z1base64解密這幾個包應當都是下載這個文件的，最終的一個包顯示了數(shù)據(jù)。capture3.pcap，找出黑客其次次上傳的木馬文件Flag〔例如：abc12〕1分〕POSTGETGET方式提交的密碼Flag: adminPHP連續(xù)分析數(shù)據(jù)包，并將該命令作為g9分〕不會？200OK的包，第一個顯示的數(shù)據(jù)應當是netstat-an顯示的結果ping命令：ping28沒有找到執(zhí)行命令的語句，只看到結果第一次上傳完木馬后也有幾個結果，200OK應當是把木馬上傳到這個名目了，下面有一個dir的命令顯示應當是黑客查看了一下木馬文件是否在這個名目中所以，這題的參考答案是：netstat-anpingdiricmp過濾，查看狀態(tài)欄中顯示的統(tǒng)計結果capture3.pcapICMP懇求，F(xiàn)lag〔icmp過濾，查看狀態(tài)欄中顯示的統(tǒng)計結果抓包題-logsWiresharkKalilogs.pcapnglogs.pcapng找出惡意用戶名目9FLAG〔形式：[robots.txt]〕提交：[star.php]過濾器：連續(xù)查看數(shù)據(jù)包文件logs.pcapng，分析出惡意用戶掃描了哪些端口，并將全部的端口作為FLAG〔形式：[端口123n]〕從低到高提交：[21,80,445,1433,3306,3389,5000]IPTCP協(xié)議過濾過濾器：ip.src==0andtcptcp：傳輸掌握協(xié)議連續(xù)查看數(shù)據(jù)包文件g〔形式：[robots.txt]〕提交：[name.txt]續(xù)查看數(shù)據(jù)包文件logs.pcapngFLAG〔形式：[/root/