轉載於https://www.cnblogs.com/sn1per/p/12553064.html
https://www.cnblogs.com/csnd/p/12332421.html
直接看上面大佬url就行了 筆記是給自己看的
數據鏈路層:
篩選mac地址為04:f9:38:ad:13:26的數據包----eth.src == 04:f9:38:ad:13:26
篩選源mac地址為04:f9:38:ad:13:26的數據包----eth.src == 04:f9:38:ad:13:26
網絡層:
篩選ip地址為192.168.1.1的數據包----ip.addr == 192.168.1.1
篩選192.168.1.0網段的數據---- ip contains "192.168.1"
篩選192.168.1.1和192.168.1.2之間的數據包----ip.addr == 192.168.1.1 && ip.addr == 192.168.1.2
篩選從192.168.1.1到192.168.1.2的數據包----ip.src == 192.168.1.1 && ip.dst == 192.168.1.2
傳輸層:
篩選tcp協議的數據包----tcp
篩選除tcp協議以外的數據包----!tcp
篩選端口為80的數據包----tcp.port == 80
篩選12345端口和80端口之間的數據包----tcp.port == 12345 && tcp.port == 80
篩選從12345端口到80端口的數據包----tcp.srcport == 12345 && tcp.dstport == 80
應用層:
特別說明----http中http.request表示請求頭中的第一行(如GET index.jsp HTTP/1.1),http.response表示響應頭中的第一行(如HTTP/1.1 200 OK),其他頭部都用http.header_name形式。
篩選url中包含.php的http數據包----http.request.uri contains ".php"
篩選內容包含username的http數據包----http contains "username"
1)ip.addr==192.168.5.6,只顯示192.168.5.6這個地址相關數據包
2)frame.len<=128,只查看長度小於128字節的數據包
3)http,只顯示http數據包
4)ip.addr==192.168.5.6 &&?tcp.port==15566,只顯示與192.168.5.6有關且與tcp端口15566有關的數據包
1.分析掃描器
http 協議
2.登陸后台99%使用的是POST方法,直接使用過濾器過濾一下,然后追蹤TCP流
http.request.method=="POST"
3.查詢黑客所使用的賬戶密碼
http.request.method=="POST" and ip.src==192.168.94.59 and http contains "rec=login"
4.webshell文件名和內容
http.request.method=="POST" and ip.src==192.168.94.59 and http
過濾 http contains "<?php @eval" tcp contains "<?php @eval"
5.robots中的flag
直接導出http對象,在文本過濾器中選擇robots.txt,將文件保存下來,即可獲得flag
6.數據庫密碼
直接過濾http數據包,查看數據包的末尾,如果數據庫登陸成功,那么http響應碼應該為200,逐一查看響應碼為200的數據包,即可找到數據庫密碼
http.response.code==200
7.hash_code
打開webtwo.pacp,查看前幾條MySql的請求和響應
SELECT value FROM `dou_config` WHERE name = 'hash_code'
8.賬戶密碼
在分組詳情中直接搜索郵箱名稱,即可獲取密碼
9.網卡配置ip
過濾 tcp contains "eth0"
10.黑客使用什么賬戶登錄email
綜合來看mailtwo.pcap和mailtwo1.pcap兩個數據包。 首先在mailtwo.pcap中過濾http,第三條數據的Cookie中發現了 login_name=wenwenni字段,並且是action=logout
繼續向下讀取數據,發現下一個mail系統的數據,然后又到了登陸界面的數據,在其中發現了密碼的加密函數:
取出來發現是AES的CBC加密,填充格式為ZeroPadding,密鑰為字符串1234567812345678的hash值,偏移量為1234567812345678
在下一次的數據請求中,發現登錄用戶依然為,因為這個用戶剛剛推出,所以猜測是使用cookie登錄的,查看一下返回數據中出現{"success":true},代表登陸成功
語句過濾
(http contains "{\\"success\\":true}" or http.request.method=="POST") and ip.addr==192.168.94.59
顯示出post請求成功的返回結果,發現是在爆破,並且直到mailtwo.pcap的最后也未爆破成功。於是打開mailtwo1.pcap,用相同的過濾條件試試,發現幾條數據,從后往前看,發現No.18152是登陸成功的返回結果,那對應的No.17126則就是正確的加密后的密碼
11.黑客獲取vpn和ip
第一個包在嘗試登陸vpn,第二個包登陸上了vpn,然后第二個包 從 統計->對話 發現10.3.4.3和10.3.4.96發出的包比較多,而且過濾一下smb發現10.3.4.96是smb服務器,篩選10.3.4.55(另一個流量大點的地址)發現是10.3.4.3先ping它的,基本可以確定10.3.4.3就是黑客的vpn IP。