从0开始学杂项第八期：流量分析(2) 数据提取

原创

已于 2024-09-03 20:50:32 修改 · 1.6k 阅读

27 ·

CC 4.0 BY-SA版权

文章标签：

#web安全 #安全 #网络安全 #wireshark #json

于 2024-09-03 20:43:29 首次发布

Misc 学习（八） - 流量分析：数据提取

这一期，我们主要写一下如何进行比较繁多的数据的提取。

使用 Tshark 批量提取数据

有时候，我们会需要从多个包中提取数据，然后再进行截取和组合，比如分析一个布尔盲注的流量文件等，这时，Tshark就派上了它的用场。

Tshark 是 Wireshark 的命令行版，可以高效快捷地提取数据，从而省去了繁杂的脚本编写。

tshark.exe -r 123.pacp -T fields -e frame.time_relative -e ip.src -e ip.dst -e ip.proto -e frame.len -E header=y -E

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

CHTXRT

关注关注

18
点赞
踩
27

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

实验吧杂项-流量日志分析

09-11

1446

A记录数据包题目描述如下：下载下来是一个cap文件，用wireshark打开，提示文件截断观察流量发现为无线流量，加上之前的报错，猜测为已加密的数据包破解加密的无线数据包需要得到数据包的 ESSID 和 PASSWORD 使用Kali集成的aircrack-ng 爆破工具得到ESSID为 0719 加密方式为 WPA加密（脆弱）加载字典...

171221 杂项-i春秋【迎圣诞】（可恶的黑客、流量分析）

whklhhhh的博客

12-22

2678

1625-5 王子昂总结《2017年12月21日》【连续第447天总结】 A. i春秋【】-*** B. *题目给了2个文件，分别是web和蓝牙的数据包查找资料得知，蓝牙的协议分为命令、数据和事件3种由于我们的目标是flag，因此可以忽略命令和事件，也就是协议为’HCI_CMD’和’HCI_EVT’的按照协议分类，扫剩下的数据包时发现有一个长度异常的点进去查看数据发现

参与评论您还未登录，请先登录后发表或查看评论

从网络流量中提取文件的利器：tcpxtract。

最新发布

lPb_w740的博客

10-12

457

tcpxtract 是一款用于从网络流量中提取文件的工具，支持从 PCAP 文件或实时网络捕获中恢复图像、文档、压缩包等文件。它通过识别文件签名（magic numbers）实现文件提取，适用于取证分析或数据恢复场景。

攻防世界 MISC - tunnel

c868954104的博客

11-23

965

然后解压需要密码，就是刚才base64隐写解密的到的密码 B@%MG"6FjbS8^c#r。然后使用python脚本将其中的base64提取出来并补全=符号。使用tshark提取出来这些域名到result.txt。base64解密这些密文发现是二进制数据，将其写入文件。使用010发现是pk头，将后缀修改为zip。看这里的域名发现像是base64。然后尝试base64隐写解密。使用wireshark打开。

bugku 杂项 流量分析(cnss)

weixin_30786617的博客

07-26

360

bugku 杂项 流量分析(cnss) 此题较为简单 wireshark 追踪第一行tcp流信息得到如下 GET /stat.htm?id=2724999&r=http%3A%2F%2Fspace.bilibili.com%2F17190571&lg=zh-cn&ntime=1490634009&cnzz_eid=418561883-1487085537-ht...

流量分析—ctf

m0_53067332的博客

01-10

9110

题目介绍该题为流量分析，当黑客入侵我们的网络是，我们可以需要通过一系列分析操作来进行抓捕与追踪，本题目难度中等偏下，不是很有难度，但题目类型较为全面，适合入手当做练习。一、题目背景某公司内网网络被黑客渗透，简单了解，黑客首先攻击了一台web服务器，破解了后台的账户密码，随之利用破解的账号密码登陆了mail系统，然后获取了vpn的申请方式，然后登陆了vpn，在内网pwn掉了一台打印机，请根据提供的流量包回答下面有关问题二、关卡列表 1 某公司内网网络被黑客渗透，请分析流量，给出黑客使用的扫描器 2 某

从零开始学CTF（第四十三期）

2501_90727259的博客

08-17

511

CTF隐写术技术全景解析：载体奥秘与实战解码本文系统梳理CTF竞赛中的隐写术技术体系，揭示信息隐藏的核心原理与破解方法。隐写术通过载体冗余（如图像像素、音频频谱、文件格式）实现信息隐藏，与加密技术形成互补。文章详细解析五大类载体技术：图像隐写（LSB/格式块）、音频隐写（时频域）、文档压缩包（元数据/伪加密）、流量隐写（协议字段）及跨载体组合，并构建"载体分析-技术匹配-工具提取"的标准化解题流程。

180106 杂项-盲注流量分析

whklhhhh的博客

01-07

2106

1625-5 王子昂总结《2018年1月6日》【连续第463天总结】 A. 第二届领航杯线下赛 B. 难度感人(:з」∠) Re是ios平台的，没接触过，API完全不懂，又不给外网，当场懵逼，考完试再试试只做了个misc1，数据包分析打开导出HTTP对象，可以看到是sql盲注的流量这里是在爆database，由于成功的包和失败的包有显著的区别（内容、大小等等），我们通过这些

CTF-Misc典型应用案例解析：隐写与流量分析实战

资源摘要信息:"CTF-Misc（杂项）作为CTF（Capture The Flag，夺旗赛）网络安全竞赛中极具挑战性和多样性的题型类别，涵盖了隐写术、编码转换、流量分析、电子取证等多个技术方向。这类题目通常不局限于某一特定漏洞...

杂项——功夫再高也怕菜刀——流量分析--攻防世界

2301_80905479的博客

10-30

303

复制了很多字节码，然后复制到winhex64中粘贴，如果复制的是不完整的非标准文件类型的字节码，winhex中不会粘贴成功，所以务必要从第一个FFD8到最后一个FFD9才行。3.分离出一个zip文件，需要密码，使用wireshare看看有没有东西。第二道攻防世界的流量分析题目，还是好难。发现了ffd8开头的文件，是png文件。2.使用foremost分离文件。发现有一张6666.jpg的图片。注意，要使用16进制的文件形式。得到了png，png上就是密码。4.在WinHex中打开。

【电子取证】Wireshark教程：从流量包中导出文件

longxintec的博客

06-04

5056

在某些情况下，消息是使用未加密的SMTP发送的，我们可以从感染主机的流量中导出这些邮件消息。使用wireshark打开例1.pacp文件，使用http.request过滤流量包，找到两个GET请求，第一个请求以doc文件结束，第二个请求以exe文件结束。在进行网络流量分析中，往往需要从获取到的流量包中导出文件，进行更仔细的检查。使用wireshark打开例3.pacp文件，点击文件—导出对象—SMB，就可以导出SMB流量中的文件。保存后的eml文件，可以使用邮件客户端进行查看，或者使用文本编辑器进行查看。

【Java入门】java基础入门

weixin_44755983的博客

09-08

260

Java入门一、规范 public：表示这个类是公共类，一个java文件中只能有一个public类 class：表示这是一个类类名：公共类的类名必须和文件名一致二、 Hello.java public class Hello { // 一个主函数，相当于程序的入口 public static void main(String arg[]) { // 执行语句 System.out.println("Hello world!") } } 三、在控制台运行 1.编译：javac He

流量分析----CTF题

热门推荐

qq_38390532的博客

05-02

1万+

某公司内网网络被黑客渗透，简单了解，黑客首先攻击了一台web服务器，破解了后台的账户密码，随之利用破解的账号密码登陆了mail系统，然后获取了vpn的申请方式，然后登陆了vpn，在内网pwn掉了一台打印机，请根据提供的流量包回答下面有关问题

CTF流量分析题

m0_37442062的博客

05-03

4432

1.flag被盗了，pcap（gnnl）尝试http过滤，get或者post追踪tcp流即可，这里是post， flag{This_is_a_f10g} 2.这么多数据包找找吧，先找到getshell的流pcap（vn78）过滤tcp TCP流通常是命令行操作 Q0NURntkb195b3VfbGlrZV9zbmlmZmVyfQ== 解码：CCTF{do_you_like_sniffer} 3.有一天皓宝宝没了流量只好手机来共享，顺便又从手机发了点小秘密到电脑，你能找到它吗？

Android中获取流量相关数据的方法

水月洞天

02-24

1801

CTF——杂项3.流量取证技术

woo233的博客

09-09

4331

先用wireshark筛选http的流量，假如没有则筛选tcp的流量，因为getshell是在命令行中执行的，可以用tcp contains “command”在关注的http.数据包或tcp数据包中选择流汇聚,可以将HTTP流或TCP流汇聚或还原成数据，在弹出的框中可以看到数据内容。在关注的http.数据包或cp数据包中选择流汇聚,可以将HTTP 流或TCP流汇聚或还原成数据，在弹出的框中可以看到数据内容。比如查看数据包的时候，有的数据包有某种特征，比如有http(80)。Data数据单独复制出来。

bugku 流量分析之信息提取

为之的博客

07-05

1516

题目给出提示，使用了sqlmap sql注入，然后搜索下http 查出来，简单分析下，这是一个sql盲注 http中响应全部都是200，也就是说，我们不能通过响应状态来判断， sqlmap先通过注入判断出表及字段，然后再通过盲注判断flag的每一个字符的ascii码。前面那些判断表等都不管，只管后面盲注出的数据先这样过滤出求数据第一个字符的 %2C1%2C1%29%29%3E 即,1,1))> 原来是1 AND ORD(MID((SELECT IFNULL(...

CTF流量分析

Kiber

04-19

908

思路：http.request.method =="POST" && http contains "php"，追踪流，找到variable=1&tpl=data/Runtime/Logs/Home/21_08_07.log&aaa=system('echo PD9waHAgZXZhbCgkX1JFUVVFU1RbZXNGXSk7Pz4=|base64 -d > /var/www/html/1.php')找j68071301598f写入的内容，且排除前两位再用base64解密，找到frpc.ini文件。

从0开始学杂项 第八期：流量分析(2) 数据提取

Misc 学习（八） - 流量分析：数据提取

使用 Tshark 批量提取数据

从0开始学杂项第八期：流量分析(2) 数据提取