zoukankan      html  css  js  c++  java
  • Day 3 misc

    流量分析

    WireShark

    常用过滤命令:

    过滤IP,如源IP或者目标x.x.x.x

    ip.src eq x.x.x.x or ip.dst eq x.x.x.x

    或者

    ip.addr eq x.x.x.x

    过滤端口

    tcp.port eq 80 // 不管端口是来源的还是目标的都显示

    tcp.port eq 80 or udp.port eq 80

    tcp.dstport == 80 // 只显tcp协议的目标端口80

    tcp.srcport == 80 // 只显tcp协议的来源端口80

    过滤端口范围

    tcp.port >= 1 and tcp.port <= 80

    过滤协议

    tcp/udp/arp/icmp/http/smtp/ftp/dns/msnms/ip/ssl......

    排除tcp包,如!tcp 或者 not tcp

    http模式过滤

    http.request.method == “GET”

    http.request.method == “POST”

    http.request.uri == “/img/logo-edu.gif”

    http contains “GET”

    http contains “HTTP/1.”

    // GET包
    http.request.method == “GET” && http contains “Host: “

    http.request.method == “GET” && http contains “User-Agent: “

    // POST包

    http.request.method == “POST” && http contains “Host: “

    http.request.method == “POST” && http contains “User-Agent: “

    // 响应包

    http contains “HTTP/1.1 200 OK” && http contains “Content-Type: “

    http contains “HTTP/1.0 200 OK” && http contains “Content-Type: “

    一定包含如下

    Content-Type:

    其他过滤命令参见wireshark过滤规则及使用方法

    协议分级

    统计 -> 协议分级

    根据数据包特征进行筛选:右键->作为过滤器应用 ->选中/非选中

    流汇聚

    右键 ->追踪流 ->TCP/HTTP流

    HTTP流常见关键内容:

    1.打开即可看到flag

    2.上传/下载文件内容,内容包括文件名、hash值等

    3.一句话木马

    数据提取

    文件->导出对象->HTTP

    media type ->右键->导出分组字节流

    文件->导出分组字节流

    无线wifi流量包

    协议分级发现只有wireless LAN协议,很可能是WPA或者WEP加密的无线数据包

    aircrack-ng

    Linux下用aircrack-ng检查cap包

    aircrack-ng xxx.cap -w 字典

    USB流量

    usb协议通常在lefrover capture date中

  • 相关阅读:
    转 IDEA 解决代码提示功能消失
    模态框居中显示
    DetachedCriteria和Criteria的使用方法
    struts2配置文件详解
    springMVC上传图片
    在linux下运行mongodb
    webSocket客服在线交谈
    接口自动化
    easyui input文本框清除值
    Spring总结
  • 原文地址:https://www.cnblogs.com/NPFS/p/12907529.html
Copyright © 2011-2022 走看看