wireshark使用(數據提取,用戶名密碼解碼,cookie編碼解碼)
20160603 Chenxin
20181217 update
0.常用過濾條件
ip.addr == 175.102.134.106
ip.src == x.x.x.x
ip.dst == x.x.x.x
tcp.port == 80
udp.port == 53
dns
http
ip.addrx.x.x.x && tcp.port21、tcp.port21 or udp.port53
1.數據過濾
找到感興趣的數據.
由於抓包是包含網卡所有業務通信數據,看起來比較雜亂,我們可以根據需求在Filter對話框中輸入命令進行過濾。常用過濾包括IP過濾(如:ip.addrx.x.x.x,ip.src x.x.x.x,ip.dst== x.x.x.x)、協議過濾(如:HTTP、HTTPS、SMTP、ARP等)、端口過濾(如:tcp.port21、udp.port53)、組合過濾(如:ip.addrx.x.x.x && tcp.port21、tcp.port21 or udp.port53)。更多過濾規則可以在Expression中進行學習查詢。
http.request.method==POST
2.數據提取
eg:
http://yttitan.blog.51cto.com/70821/1737904 數據流追蹤
http://yttitan.blog.51cto.com/70821/1738099 使用winhex還原圖片文件
獲取捕獲文件.
找到相應上傳的那個開始數據包.
對該數據包使用 右鍵->"追蹤流"->"TCP流",選擇本地到遠端上傳的選項顯示(上傳為紅色,下載為藍色),以"原始數據"格式另存為普通二進制文件.
使用winhex打開二進制文件,根據TCP流中上傳前的標記和上傳完成的標記裁剪出來(原始文件中換行符用十六進制表示是 “0D 0A”,因為有兩個,所以我們在圖片名字test.jpg附近尋找“0D 0A 0D 0A”,后面的部分就表示圖片的開始。),另存為jpeg文件及可以了.
3.用戶名和密碼
通過抓包,獲取提交用戶名和密碼段文本如下:
name=chenxin6676&pwd=806d4d3a452fc35795187dd8cdddec95&validcode=&isauto=true&type=json&backurl=http%253a%252f%252fwww.autohome.com.cn%252fchengdu%252f&url=http%253a%252f%252fwww.autohome.com.cn%252fchengdu%252f&
用戶名部分:被url encode進行編碼提交,可以直接將 %E8%89%AF%E6%B0%91 (對應的中文是"良民")復制到firefox的地址欄,會自動解析成中文.或者通過網上的在線工具進行轉換.
密碼部分:這里需要分析頁面的加密方式,這里是md5的加密方式.但由於密碼比較復雜,在線解密時間會比較長,或者需要花錢解密.最安全的方式是這里使用ssl加密.
POST /Login/ValidIndex HTTP/1.1
Host: account.autohome.com.cn
Connection: keep-alive
Content-Length: 211
Origin: http://account.autohome.com.cn
User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.87 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept: /
Referer: http://account.autohome.com.cn/?backurl=http%3A%2F%2Fwww.autohome.com.cn%2Fchengdu%2F
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: sessionid=7141AB2F-9B25-3538-2ADD-3077A9B9E951%7C%7C2016-02-16+17%3A04%3A43.186%7C%7C0; sessionuid=7141AB2F-9B25-3538-2ADD-3077A9B9E951||2016-02-16+17%3A04%3A43.186||0; WarningClose=1; _ga=GA1.3.195390752.1455613451; sessionip=125.70.0.195; FootPrints=22371%7C2016-5-18%2C17084%7C2016-4-29%2C; fvlid=14643225995563CB87J5S; cookieCityId=510100; pvidlist=70fb4d02-5a98-475b-838a-...
name=chenxin6676&pwd=806d4d3a452fc35795187dd8cdddec95&validcode=&isauto=true&type=json&backurl=http%253a%252f%252fwww.autohome.com.cn%252fchengdu%252f&url=http%253a%252f%252fwww.autohome.com.cn%252fchengdu%252f&
4.cookie部分
cookie部分也是采用的url encode方式進行的編碼處理,注意含有"%"的字段.
比如:
backurl=http%253a%252f%252fwww.autohome.com.cn%252fchengdu%252f&url=http%253a%252f%252fwww.autohome.com.cn%252fchengdu%252f& 經過2次url encode解碼,就變成以下url地址:
backurl=http://www.autohome.com.cn/chengdu/&url=http://www.autohome.com.cn/chengdu/&
5.結合chrome的開發者工具
可以查看源碼,一些調用關系,密碼的加密策略等.
知識
wireshark的使用說明
https://blog.csdn.net/zjy900507/article/details/79303359 網絡抓包工具 wireshark 入門教程