CISP-PTS-第一天-下午 wireshark 和 tcpdump-tess-wiki

`Wireshark`

linux下需要把wireshark 添加到当前用户组中，方便使用。

启动
选择抓包网卡
混杂模式
实时抓包
保存和分析捕获文件
首选项

`基础`

查看一个数据包

d2b5ca33bd131042

d2b5ca33bd131434

`第二层数据链路层；MAC`

d2b5ca33bd145614

`第三次网络层；IP`

d2b5ca33bd150006

`第三层传输层 TCP UDP`

d2b5ca33bd150639

`第四层应用层 http`

d2b5ca33bd145243

`HTTP Response 回复的包`

d2b5ca33bd152311

`wirshark 其他提示`

`Dup` 重复的请求包

d2b5ca33bd152455

`未认证 401 无权限`

d2b5ca33bd154200

d2b5ca33bd154411

把这个 `401` 应用为列，查看爆破信息

d2b5ca33bd154706

添加到列属性中，然后点一下，以这个属性排序

d2b5ca33bd154759

然后发现这是在进行爆破，尝试了大量的账号密码，都是401，

到最后，有一个状态码是301，是进行了重定向，这个就是 爆破成功 的。

d2b5ca33bd155926

去 32461 数据包查看

d2b5ca33bd160148

`查看登录的数据包`

一般都是/admin/login.php

d2b5ca33bd153353

`查看数据流`

d2b5ca33bd160543

d2b5ca33bd161052

也可以单独把认证拿出来解密，这个是base64

d2b5ca33bd161353

宏观的分析

d2b5ca33bd161522

d2b5ca33bd161953

也可以只查看 http 包

d2b5ca33bd162121

d2b5ca33bd162151

`流量分析`

然后看一下会话，那些主机产生过网络会话，

二层一般不用管，因为他是你局域网内的，

一般从三层开始看，IP层，查看那些会话最多，

d2b5ca33bd162807

看这个原和目的产生了大量的交互，发送了很多的数据，

这肯定不是人一个一个点了，一看就是机器批量执行的，

还有 `I/O` 图

d2b5ca33bd163036

流量图

d2b5ca33bd164231

数据包量比较大的话，可以做统计

d2b5ca33bd164503

d2b5ca33bd164526

关注客户端都向服务器都发了什么请求

http.request.uri

d2b5ca33bd164650

d2b5ca33bd164824

d2b5ca33bd164846

一共4.24秒，向服务器发送了1038次请求。。。。

http.response.code

d2b5ca33bd170005

案列`POP`邮箱抓包

http smtp pop3 都是明文的
ssl 是加密的抓到包了，没密钥也解不开。。。

d2b5ca33bd171038

POP3邮件数据中的账号密码

d2b5ca33bd171151

案例三

1.pcap

请求序列，显示层级序列

d2b5ca33bd172250

d2b5ca33bd172601

分析出这个站点可能有问题，接下来导出这个HTTP来查看详细的内容

d2b5ca33bd172804

选中要保存的文件，单独保存下来，另外做分析

d2b5ca33bd173030

d2b5ca33bd173148

是数据，然后就是用各种二进制程序去分析它，看看是不是恶意程序啥的。

Tcpdump

`tcpdump读取pcap包`

tcpdump -n -r p.pcap
-n 不显示那些协议的名称而是显示那些协议的端口号
-r 是读取

┌──(root㉿kali)-[~/桌面/6565]
└─# tcpdump -n -r p.pcap
08:51:25.048049 IP 208.68.234.99.33313 > 172.16.40.10.81: Flags [.], ack 577, win 124, options [nop,nop,TS val 25539315 ecr 71431652], length 0
08:51:25.048072 IP 208.68.234.99.33313 > 172.16.40.10.81: Flags [.], ack 577, win 124, options [nop,nop,TS val 25539315 ecr 71431652], length 0
08:51:25.048078 IP 172.16.40.10.81 > 208.68.234.99.33313: Flags [R], seq 1876488394, win 0, length 0
08:51:25.048197 IP 208.68.234.99.33313 > 172.16.40.10.81: Flags [.], ack 577, win 124, options [nop,nop,TS val 25539315 ecr 71431652], length 0
08:51:25.048202 IP 172.16.40.10.81 > 208.68.234.99.33313: Flags [R], seq 1876488394, win 0, length 0

tcpdump -n -r p.pcap | awk '{print $5}'

只打印IP那一列，就是第五列

└─# tcpdump -n -r p.pcap | awk '{print $5}'
208.68.234.99.33313:
208.68.234.99.33313:
172.16.40.10.81:
172.16.40.10.81:
208.68.234.99.33313:
172.16.40.10.81:
208.68.234.99.33313:

└─# tcpdump -n -r p.pcap | awk '{print $5}' | sort | uniq -c

`sort 排序`
`uniq -c 去除重复，＋统计功能`

tcpdump -n -r p.pcap | awk '{print $5}' | sort | uniq -c | more 一页一页显示

└─# tcpdump -n -r p.pcap | awk '{print $5}' | sort | uniq -c | more
reading from file p.pcap, link-type EN10MB (Ethernet), snapshot length 65535
20164 172.16.40.10.81:
      14 208.68.234.99.32768:
      14 208.68.234.99.32769:
       6 208.68.234.99.32770:

208.68.234.99 32768 是客户端，他不断更换自己的端口去访问服务端

172.16.40.10 81 是服务端，81端口被请求20164次

`添加过滤条件`

└─# tcpdump -n dst host 172.16.40.10 -r p.pcap

只显示目的为 172.16.40.10 的包

┌──(root㉿kali)-[~/桌面/6565]
└─# tcpdump -n dst host 172.16.40.10 -r p.pcap
08:51:25.048049 IP 208.68.234.99.33313 > 172.16.40.10.81: Flags [.], ack 577, win 124, options [nop,nop,TS val 25539315 ecr 71431652], length 0
08:51:25.048072 IP 208.68.234.99.33313 > 172.16.40.10.81: Flags [.], ack 577, win 124, options [nop,nop,TS val 25539315 ecr 71431652], length 0
08:51:25.048197 IP 208.68.234.99.33313 > 172.16.40.10.81: Flags [.], ack 577, win 124, options [nop,nop,TS val 25539315 ecr 71431652], length 0

按照端口过滤

─# tcpdump -n port 81 -r p.pcap

┌──(root㉿kali)-[~/桌面/6565]
└─# tcpdump -n port 81 -r p.pcap
08:51:25.048049 IP 208.68.234.99.33313 > 172.16.40.10.81: Flags [.], ack 577, win 124, options [nop,nop,TS val 25539315 ecr 71431652], length 0
08:51:25.048072 IP 208.68.234.99.33313 > 172.16.40.10.81: Flags [.], ack 577, win 124, options [nop,nop,TS val 25539315 ecr 71431652], length 0
08:51:25.048078 IP 172.16.40.10.81 > 208.68.234.99.33313: Flags [R], seq 1876488394, win 0, length 0
08:51:25.048197 IP 208.68.234.99.33313 > 172.16.40.10.81: Flags [.], ack 577, win 124, options [nop,nop,TS val 25539315 ecr 71431652], length 0
08:51:25.048202 IP 172.16.40.10.81 > 208.68.234.99.33313: Flags [R], seq 1876488394, win 0, length 0

`显示包的内容`

└─# tcpdump -n -A -r p.pcap

┌──(root㉿kali)-[~/桌面/6565]
└─# tcpdump -n -A -r p.pcap  | more
reading from file p.pcap, link-type EN10MB (Ethernet), snapshot length 65535
08:51:20.800917 IP 208.68.234.99.60509 > 172.16.40.10.81: Flags [S], seq 1855084074, win 14600, options [mss 1460,sackOK,TS val 25538253 ecr 0,nop,ws
cale 7], length 0
E..<..@.9....D.c..(
.].Qn.V*......9..w.........
.^.Q..>....E...s.......
.....A..GET //admin HTTP/1.1
Host: admin.megacorpone.com:81
User-Agent: Teh Forest Lobster
Authorization: Basic YWRtaW46TWVnYUNvcnA=
tcpdump: Unable to write output: Broken pipe

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>401 Authorization Required</title>
</head><body>

这里可以看到他有一些重复的Authorization: Basic ...

我们可以用 grep 来单独查看含有Authorization:的值

┌──(root㉿kali)-[~/桌面/6565]
└─# tcpdump -n -A -r p.pcap  | grep Authorization
.A......HTTP/1.1 401 Authorization Required
<title>401 Authorization Required</title>
<h1>Authorization Required</h1>
Authorization: Basic YWRtaW46bmFub3RlY2hub2xvZ3kx
Authorization: Basic YWRtaW46bmFub3RlY2hub2xvZ3kx
Authorization: Basic YWRtaW46bmFub3RlY2hub2xvZ3kx


┌──(root㉿kali)-[~/桌面/6565]
└─# tcpdump -n -A -r p.pcap  | grep Authorization:
Authorization: Basic YWRtaW46ZnVuZGluZzE=
Authorization: Basic YWRtaW46ZnVuZGluZzE=
Authorization: Basic YWRtaW46ZnVuZGluZzE=
Authorization: Basic YWRtaW46bmFub3Byb2JlMQ==
Authorization: Basic YWRtaW46bmFub3Byb2JlMQ==
Authorization: Basic YWRtaW46bmFub3Byb2JlMQ==
Authorization: Basic YWRtaW46bmFub3RlY2hub2xvZ3kx
Authorization: Basic YWRtaW46bmFub3RlY2hub2xvZ3kx
Authorization: Basic YWRtaW46bmFub3RlY2hub2xvZ3kx

grep -E ^Authorization

-E ^以这个为头部来查找

┌──(root㉿kali)-[~/桌面/6565]
└─# tcpdump -n -A -r p.pcap  | grep -E ^Authorization
Authorization: Basic YWRtaW46ZnVuZGluZzE=
Authorization: Basic YWRtaW46ZnVuZGluZzE=
Authorization: Basic YWRtaW46ZnVuZGluZzE=
Authorization: Basic YWRtaW46bmFub3Byb2JlMQ==
Authorization: Basic YWRtaW46bmFub3Byb2JlMQ==
Authorization: Basic YWRtaW46bmFub3Byb2JlMQ==
Authorization: Basic YWRtaW46bmFub3RlY2hub2xvZ3kx
Authorization: Basic YWRtaW46bmFub3RlY2hub2xvZ3kx
Authorization: Basic YWRtaW46bmFub3RlY2hub2xvZ3kx

再加上排序和去重 | sort | uniq

└─# tcpdump -n -A -r p.pcap | grep -E ^Authorization | sort | uniq

┌──(root㉿kali)-[~/桌面/6565]
└─# tcpdump -n -A -r p.pcap  | grep -E ^Authorization | sort | uniq
Authorization: Basic YWRtaW46ZXRoaWNz
Authorization: Basic YWRtaW46ZXRoaWNzZXM=
Authorization: Basic YWRtaW46ZXZlbnRz
Authorization: Basic YWRtaW46ZXZlbnRzZXM=
Authorization: Basic YWRtaW46ZXZlcnl0aGluZ3M=
Authorization: Basic YWRtaW46ZXZlcnl0aGluZw==
Authorization: Basic YWRtaW46ZXZlcnlvbmU=
Authorization: Basic YWRtaW46ZXZlcnlvbmVz

再使用AWK 单独提取密码

└─# tcpdump -n -A -r p.pcap | grep -E ^Authorization | sort | uniq | awk '{print $3}'

┌──(root㉿kali)-[~/桌面/6565]
└─# tcpdump -n -A -r p.pcap  | grep -E ^Authorization | sort | uniq | awk '{print $3}'
YWRtaW46ZXRoaWNz
YWRtaW46ZXRoaWNzZXM=
YWRtaW46ZXZlbnRz
YWRtaW46ZXZlbnRzZXM=
YWRtaW46ZXZlcnl0aGluZ3M=
YWRtaW46ZXZlcnl0aGluZw==
YWRtaW46ZXZlcnlvbmU=
YWRtaW46ZXZlcnlvbmVz

这里就把所有的base64密文都提取出来了

直接到https://gchq.github.io/CyberChef 里去解密

直接base64解密

d2b5ca33bd223637

但是结果是连着的，需要添加一个换行符啥的

再用replace,以admin:作为查找，再用replace \n

d2b5ca33bd223528

这里爆破使用的密码字典了

文章版权归作者所有，未经允许请勿转载。

THE END

PTS

CISP-PTS-第一天-下午 wireshark 和 tcpdump