总体把握

– 协议分级

– 端点统计

过滤赛选

– 过滤语法

– Host，Protocol特征值

发现异常

– 特殊字符串

– 协议某字段

数据提取

– 字符串取

– 文件提取

3.工欲善其事，必先利其器。

-------wireshark

-------tcpdump

-------RawCap

一般情况下，非HTTP协议的网络分析，在服务器端用tcpdump比较多，在客户端用wireshark比较多，两个抓包软件的语法是一样的。

4.宝刀初现

Wireshark捕获任何类型的网络数据包。

同时wireshark作为一个开源项目，来自全世界的开发者不断的优化wireshark

wireshark是用C语言进行编写的。C语言的好处是直接操作内存，效率高https://wizardforcel.gitbooks.io/wireshark-manual/content/（中文使用文档）

5.宝刀长这个样子

6.这个包到底有多少协议

Protocol Hierarchy 选项

– Statistics选项中的Protocol Hierarchy 选项中包含此数据包出现的所有协议

7.到底谁和谁对话

Conversations选项

Statistics选项中的Conversations选项中包含了谁和谁进行了通信

事不过三，其余的大家自己研究。

统统过滤

字符串过滤：

常用过滤：

过滤ip，如源IP或者目标x.x.x.x：

– ip.src eq xxxx or ip.dst eq xxxx 或者 ip.addr eq xxxx

过滤端口：

– tcp.port eq(等于) 80 or udp.port eq 80

过滤MAC:

– eth.dst == MAC地址

协议过滤:

– 直接在Filter框中直接输入协议名即可，http udp dns

HTTP过滤

http模式过滤

http.request.method="POST" 过滤全部POST数据包

http.request.uri=="/img/logo-edu.gif"

http contains"GET" 模糊匹配 http头中有这个关键字

http contains"HTTP/1." 版本号

http.request.method=="GET"&& http contains"User-Agent:"

实践是检验真理的唯一标准

1.发现异常

2.指纹识别

3.明文传输

4.图片提取

一双明亮的大眼睛：

明文传输

指纹识别

其余常用指纹

Awvs:

acunetix_wvs_security_test acunetix

acunetix_wvs acunetix_test

Acunetix-Aspect-Password:Cookie:

acunetix_wvs_security_test X-Forwarded-Host:

acunetix_wvs_security_test X-Forwarder-For:

acunetix_wvs-security_test Host:

acunetix_wvs_security_test

Netsparker:

X-Scanner:NetsparkerLocation:

NetsparkerAccept:netsparker/chechCookie:

netsparkerCookie:NETSPARKER

Appscan:

Headers Content-Type:Appscan

Content-Type:AppScanHeader

Accept:Appscan User-Agent:Appscan

Nessus:

x_forwarded_for:nessus

referer:nessus

host:nessus

sqlmap:

User-Agent:sqlmap1.2.8#stable

图片提取

1.找到上传图片的数据包

2.追踪TCP流，选中右键追踪TCP流。

3.点击保存，使用winhex打开。删除红框中的东西，保存打开即可。

等级提升

1.目录扫描

2.一句话木马

3.流量包解密

目录扫描

1.分析流量包，看到是进行目录扫描

2.在最后发现可疑操作。

3.使用HTTP导出数据，使用php进行解压。

骑个马

1.由目录看出，应该是一句话木马上传之后

2.追踪流量发现为中国菜刀的流量

3.继续追踪发现有rar文件和一个png文件。提取即可

流量包解密

1.打开如下。

2.先破解无线密码

使用aircrack-ng.exe shipin.cap检查包信息得到无线的ESSID 0719

使用aircrack-ng.exe shipin.cap -w password.txt破解WPA密码

知道了无线ESSID和密码。然后解密数据包。

然后用airdecap-ng.exe shipin.cap -e 0719 -p 88888888利用ESSID和WPA密码进行解密

FTP协议分析

1.直接搜索ftp，发现三个文件

2..把文件提取出来看看。追踪TCP保存出来

3.尝试伪加密，解开。09改成00

4.然而flag没在这里

5.还有一个key.log.能发现这是一份NSS Key Log Format的文件，而这个文件是能解密出 Wireshark 里面的 https 流量的。把他保存出来，然后在以密钥发方式导入(Edie->preferences->SSL）

JMC ----胖丫