【愚公系列】2022年02月 wireshark系列-文件还原01

举报
愚公搬代码 发表于 2022/02/28 19:33:10 2022/02/28
【摘要】 前言 1.题目描述黑客A通过ARP欺骗,使用wireshark获取了整个局域网内的网络流量信息。无意之中,他发现有人在某个网站上上传了一份文件。但是他不知道怎么样通过wireshark去还原这份文件,没办法,他将监听到的数据包保存为了一份wireshark的监听记录,将通过以下三个任务完成那份上传文件的还原。1)对抓到的包进行显示过滤,找到关键信息。2)对信息进行跟踪,确定上传文件的TCP...

前言

1.题目描述

黑客A通过ARP欺骗,使用wireshark获取了整个局域网内的网络流量信息。无意之中,他发现有人在某个网站上上传了一份文件。但是他不知道怎么样通过wireshark去还原这份文件,没办法,他将监听到的数据包保存为了一份wireshark的监听记录,将通过以下三个任务完成那份上传文件的还原。

1)对抓到的包进行显示过滤,找到关键信息。

2)对信息进行跟踪,确定上传文件的TCP流,并保存为二进制原始文件。

3)对文件中上传文件的信息进行处理,去掉多余的包头和包尾,得到原始文件。

任务描述:使用wireshark导入监听数据包,对数据进行显示过滤,提取出来关键信息。

一、解题流程

  1. 打开catchme.pcapng,双击即可。会发现数据记录一共有148条。如果单纯的从开始到结尾去一条一条的审计,是非常费力的事情。而且实际操作过程中,大部分情况会多于148条记录。
    在这里插入图片描述

  2. 此处,利用Wireshark提供的强大的过滤显示功能。在filter中可以定义显示的数据包类型。此处上传时访问的是网站,因此在filter中输入http进行协议过滤,输入回车或者点击工具栏旁边的“APPLY”按钮,就可以完成Http协议数据包的过滤显示。在这里插入图片描述

  3. 从题目我们可以明确,上传时访问的是个网站,因此我们需要进行协议过滤。在filter中输入http,表示我们要显示所有使用http协议的数据包。输入回车,或者点击旁边的APPLY按钮,就可以进行显示过滤。在这里插入图片描述
    从图上下方我们可以看到,数据包由原来的148个变成了32个。这样就很容易帮我们分析了。

  4. 仔细分析,我们会在末尾左右的第143条数据记录中的info中看到upload这个词,我们怀疑这条就是涉及到上传的数据包。在这里插入图片描述
    如果你在此之前有些编写网站的经验,就会知道上传文件提交可以使用post一个表单的形式。所以,你也可以使用包过滤显示,选出所有使用post方法提交的数据包。我们可以输入http.request.method==”POST”进行包过滤。这时候的显示如下:在这里插入图片描述
    看到了吧,这时候只显示了唯一一条记录,就是我们刚才找到的序号为143的记录,是不是快了很多啊。因此,掌握数据包过滤,是熟练掌握wireshark的必备技能之一。

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。