misc_流量包分析及数据图片隐写类问题

wireShack的基础使用

1、抓包过滤器语法和实例

抓包过滤器类型Type(host、net、port)、方向Dir(src、dst)、协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)、逻辑运算符(&& 与、|| 或、!非)

(1)协议过滤

比较简单,直接在抓包过滤框中直接输入协议名即可。

TCP,只显示TCP协议的数据包列表

HTTP,只查看HTTP协议的数据包列表

ICMP,只显示ICMP协议的数据包列表

(2)IP过滤

host 192.168.1.104

src host 192.168.1.104

dst host 192.168.1.104

(3)端口过滤

port 80

src port 80

dst port 80

(4)逻辑运算符&& 与、|| 或、!非

src host 192.168.1.104 && dst port 80 抓取主机地址为192.168.1.80、目的端口为80的数据包

host 192.168.1.104 || host 192.168.1.102 抓取主机为192.168.1.104或者192.168.1.102的数据包

!broadcast 不抓取广播数据包

2、显示过滤器语法和实例

(1)比较操作符

比较操作符有== 等于、!= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。

(2)协议过滤

比较简单,直接在Filter框中直接输入协议名即可。注意:协议名称需要输入小写。

tcp,只显示TCP协议的数据包列表

http,只查看HTTP协议的数据包列表

icmp,只显示ICMP协议的数据包列表


1.wireshark之文件还原

这个实验还蛮有意思的,首先呢,你要学会使用filter模块。
这个题目呢,首先介绍呢,是在用户使用网站的时候,进行的数据捕获,所以我们需要使用筛选出http的请求列表,列出来之后,进一步筛选,我们知道进行文件上传的功能都是直接用post传送表单对吧,所以再对post进行过滤。
找到我们想要的包,直接进行流式会话还原,就可以直接还原出我们想要的图片格式,然后再放在winhex里面进行分析,把不需要的报文头部删掉,就可以还原我们的文件。

2.CTF-Stegano练习之隐写5
首先拿到这个包,检索一遍,发现有ftp,重点查看ftp
果然有敏感文件,首先是hello.txt里面没有需要的数据
再是png,312,启用ftp协议,进行传输,然后,查看313,直接拿到想要的数据ftp-data

3.CTF-Stegano练习之隐写9
补充知识:
TrID
功能:TrID是一款根据文件二进制数据特征进行判断的文件类型识别工具。

虽然也有类似的文件类型识别工具,但是大多数都是使用硬编码的识别规则,而TrID则没有固定的匹配规则,TrID具有灵活的可扩展性,可以通过训练来进行文件类型的快速识别
TrID通过附加的文件类型指纹数据库来进行匹配,可用于取证分析、未知文件识别等用途

SSL协议
SSL(Secure Socket Layer)安全套接层是Netscape公司率先采用的网络安全协议。它是在传输通信协议(TCP/IP)上实现的一种安全协议,采用公开密钥技术。SSL广泛支持各种类型的网络,同时提供三种基本的安全服务,它们都使用公开密钥技术。

SSL协议交互过程中,服务器返回的ServerHello消息中会包含有SessionID。客户端(浏览器端)通过一个名为ssl_session_st的结构体存储SSL相关的密钥参数,其中ssl_session_st的部分数据结构表示如下:


补充:https协议

补充:BinWalk工具,这个工具用来扫描一个文件, 旨在协助研究人员对文件进行分析,提取及逆向工程

c32Arm工具
可以用来分析十六进制数据,分析照片这种东西。

Steghide工具
是一个可以将文件隐藏到图片或音频中的工具
第一次使用可以用steghide --help查看帮助
隐藏文件
steghide embed -cf [图片文件载体] -ef [待隐藏文件]
steghide embed -cf 1.jpg -ef 1.txt

上一篇:攻防世界 Misc高手进阶区 5分题 侧信道初探


下一篇:二维码 1