wireshark抓包体验

目录

1、使用基础

1.1 数据包筛选

1.2 MAC地址筛选

1.3 端口筛选

1.4 协议筛选

1.5 包长度筛选

1.6 http请求筛选

 2.数据包搜索

3.数据包还原

 2、例题复现


1、使用基础

1.1 数据包筛选

ip.src == 源ip地址

wireshark抓包体验_第1张图片

 同理可以得到筛选目标地址:

ip.dst == 目的ip地址

1.2 MAC地址筛选

 eth.dst ==A0:00:00:04:C5:84 筛选目标mac地址

eth.addr==A0:00:00:04:C5:84 筛选MAC地址

1.3 端口筛选

tcp.dstport == 80  筛选tcp协议的目标端口为80的流量包

tcp.srcport == 80  筛选tcp协议的源端口为80的流量包

udp.srcport == 80  筛选udp协议的源端口为80的流量包

1.4 协议筛选

tcp  筛选协议为tcp的流量包

udp 筛选协议为udp的流量包

arp/icmp/http/ftp/dns/ip  筛选协议为arp/icmp/http/ftp/dns/ip的流量包

1.5 包长度筛选

udp.length ==20   筛选长度为20的udp流量包

tcp.len >=20  筛选长度大于20的tcp流量包

ip.len ==20  筛选长度为20的IP流量包

frame.len ==20 筛选长度为20的整个流量包

1.6 http请求筛选

 

请求方法为GET:http.request.method==“GET”        筛选HTTP请求方法为GET的 流量包

请求方法为POST:http.request.method==“POST”      筛选HTTP请求方法为POST的流量包

指定URI:http.request.uri==“/img/logo-edu.gif”  筛选HTTP请求的URL为/img/logo-edu.gif的流量包

请求或相应中包含特定内容:http contains “FLAG”    筛选HTTP内容为/FLAG的流量包

 2.数据包搜索

在wireshark界面按“Ctrl+F”,可以进行关键字搜索:

wireshark抓包体验_第2张图片

3.数据包还原

在wireshark中,存在一个追踪流的功能,可以将HTTP或TCP流量集合在一起并还原成原始数据,具体操作方式如下:

选中想要还原的流量包,右键选中,选择追踪流 – TCP流/UPD流/SSL流/HTTP流。

wireshark抓包体验_第3张图片

 2、例题复现

题目要求:

1.黑客攻击的第一个受害主机的网卡IP地址 

2.黑客对URL的哪一个参数实施了SQL注入 

3.第一个受害主机网站数据库的表前缀(加上下划线例如abc) 

4.第一个受害主机网站数据库的名字

 1)首先下载1.pcap:

链接:https://pan.baidu.com/s/18mWo5vn1zp_XbmcQrMOKRA 

提取码:hrc4

2)打开1.pcap

第一次打开的可能很慢,需要耐心等待

看到题目SQL注入,那就首先想到的是过滤http和https协议:

wireshark抓包体验_第4张图片

 由此可以看出,因此受害主机的网卡IP地址为192.168.1.8

3)我们进行一个追流操作:

wireshark抓包体验_第5张图片

 我们可以看到这是一个sql注入,以及对于url参数 list 的进行注入

4)然后我们去追踪一个SQL注入的TCP流

wireshark抓包体验_第6张图片

 这里我们可以看出表前缀

5)要找到数据库名的话,我们最好去最后那几条去找,看到url中如果包含schema关键字,那大概率就是数据库名:

wireshark抓包体验_第7张图片

 这里的数据库名使用十六进制解码:解码出来就是:joomla.ajtuc_users

你可能感兴趣的:(wireshark)