wiresharek
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是检索取网络封包,并同时显示出最详细的网络封包数据。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
假设您是一名网络安全工程师,需要对某公司的公司进行数据分析,分析黑客获取电脑权限进行的操作,我们本章主要以分析案例数据包进行分析关键数据。
wireshark--misc1.pcap数据包
1.通过本地PC中渗透测试平台Kali访问目标靶机http://xxx.xxx.xxx.xxx:8081(xxx.xxx.xxx.xxx为靶机IP地址,例如172.16.101.1:8081)下载文件获取流量包。将流量包进行解压,获取流量包中的文件名作为Flag(形式:文件名.文件类型)提交;
misc-1.pcapng
2.通过本地PC中渗透测试平台Kali中利用wireshark从服务器场景Jtest中下载的流量包进行流量包分析,使用HTTP模式下的过滤表达式过滤HTTP GET方法的流量包,过滤表达式命令作为Flag提交。
使用过滤规则:http.request.method==GET
http.request.method==GET
3.根据第2步回显信息从过滤出的流量包中分析,找到flag文件流量的IP地址,并将该HTTP流量包(第1步中下载的流量包)含flag信息的请求源ip作为Flag提交。
FLAG:192.168.199.212
4.在渗透测试平台Kali中利用wireshark从包含flag信息的流量包中的IP数据包中找到目标信息文件,并将该文件名作为Flag(形式:文件名.文件类型)提交。
根据上一题 我们知道了 是一个flag.zip 文件
FLAG:flag.zip
5.在渗透测试平台Kali中使用wireshark分析下载的流量包,并从包含flag信息的GET/POST请求流量中找出响应IP及响应内容,并将该flag请求的响应IP(流量包中的IP)作为flag提交。
FLAG:192.168.199.203
6.将响应内容的文件进行解压,将该文件解压后的文件内容第一行作为flag提交;
找到 zip的数据流 导出 里面有个ce.txt
FLAG:254,255,255
