转载于https://www.cnblogs.com/sn1per/p/12553064.html
https://www.cnblogs.com/csnd/p/12332421.html
直接看上面大佬url就行了 笔记是给自己看的
数据链路层:
筛选mac地址为04:f9:38:ad:13:26的数据包----eth.src == 04:f9:38:ad:13:26
筛选源mac地址为04:f9:38:ad:13:26的数据包----eth.src == 04:f9:38:ad:13:26
网络层:
筛选ip地址为192.168.1.1的数据包----ip.addr == 192.168.1.1
筛选192.168.1.0网段的数据---- ip contains "192.168.1"
筛选192.168.1.1和192.168.1.2之间的数据包----ip.addr == 192.168.1.1 && ip.addr == 192.168.1.2
筛选从192.168.1.1到192.168.1.2的数据包----ip.src == 192.168.1.1 && ip.dst == 192.168.1.2
传输层:
筛选tcp协议的数据包----tcp
筛选除tcp协议以外的数据包----!tcp
筛选端口为80的数据包----tcp.port == 80
筛选12345端口和80端口之间的数据包----tcp.port == 12345 && tcp.port == 80
筛选从12345端口到80端口的数据包----tcp.srcport == 12345 && tcp.dstport == 80
应用层:
特别说明----http中http.request表示请求头中的第一行(如GET index.jsp HTTP/1.1),http.response表示响应头中的第一行(如HTTP/1.1 200 OK),其他头部都用http.header_name形式。
筛选url中包含.php的http数据包----http.request.uri contains ".php"
筛选内容包含username的http数据包----http contains "username"
1)ip.addr==192.168.5.6,只显示192.168.5.6这个地址相关数据包
2)frame.len<=128,只查看长度小于128字节的数据包
3)http,只显示http数据包
4)ip.addr==192.168.5.6 &&?tcp.port==15566,只显示与192.168.5.6有关且与tcp端口15566有关的数据包
1.分析扫描器
http 协议
2.登陆后台99%使用的是POST方法,直接使用过滤器过滤一下,然后追踪TCP流
http.request.method=="POST"
3.查询黑客所使用的账户密码
http.request.method=="POST" and ip.src==192.168.94.59 and http contains "rec=login"
4.webshell文件名和内容
http.request.method=="POST" and ip.src==192.168.94.59 and http
过滤 http contains "<?php @eval" tcp contains "<?php @eval"
5.robots中的flag
直接导出http对象,在文本过滤器中选择robots.txt,将文件保存下来,即可获得flag
6.数据库密码
直接过滤http数据包,查看数据包的末尾,如果数据库登陆成功,那么http响应码应该为200,逐一查看响应码为200的数据包,即可找到数据库密码
http.response.code==200
7.hash_code
打开webtwo.pacp,查看前几条MySql的请求和响应
SELECT value FROM `dou_config` WHERE name = 'hash_code'
8.账户密码
在分组详情中直接搜索邮箱名称,即可获取密码
9.网卡配置ip
过滤 tcp contains "eth0"
10.黑客使用什么账户登录email
综合来看mailtwo.pcap和mailtwo1.pcap两个数据包。 首先在mailtwo.pcap中过滤http,第三条数据的Cookie中发现了 login_name=wenwenni字段,并且是action=logout
继续向下读取数据,发现下一个mail系统的数据,然后又到了登陆界面的数据,在其中发现了密码的加密函数:
取出来发现是AES的CBC加密,填充格式为ZeroPadding,密钥为字符串1234567812345678的hash值,偏移量为1234567812345678
在下一次的数据请求中,发现登录用户依然为,因为这个用户刚刚推出,所以猜测是使用cookie登录的,查看一下返回数据中出现{"success":true},代表登陆成功
语句过滤
(http contains "{\\"success\\":true}" or http.request.method=="POST") and ip.addr==192.168.94.59
显示出post请求成功的返回结果,发现是在爆破,并且直到mailtwo.pcap的最后也未爆破成功。于是打开mailtwo1.pcap,用相同的过滤条件试试,发现几条数据,从后往前看,发现No.18152是登陆成功的返回结果,那对应的No.17126则就是正确的加密后的密码
11.黑客获取vpn和ip
第一个包在尝试登陆vpn,第二个包登陆上了vpn,然后第二个包 从 统计->对话 发现10.3.4.3和10.3.4.96发出的包比较多,而且过滤一下smb发现10.3.4.96是smb服务器,筛选10.3.4.55(另一个流量大点的地址)发现是10.3.4.3先ping它的,基本可以确定10.3.4.3就是黑客的vpn IP。