前几天的防火墙与入侵检测课上,老师把广东省强网杯CTF其中的一道初赛题当做实践课的任务,解题时学会了不少东西,觉得挺有趣的,所以记下来,以下writeup仅仅是个人见解
-【大黑阔的数据包】是一个.pcap文件
详细步骤如下:
用Wireshark打开.pcap文件。
1、协议统计:在菜单中选择Statistics,然后选择Protocol Hierarchy,就可以统计出所在数据包中所含的IP协议、应用层协议。
2、数据过滤:由于抓包数据看起来比较杂乱,可以根据需求在Filter对话框中输入命令进行过滤。将http包过滤出来。
-分析:可知双方微信聊天的ip地址以及ID。
-分析:按Length递增排列分类,点击Length大于343时的包时发现其中含有聊天记录。
3、使用”Follow TCP Stream”查看Tcp流中的应用层数据。在包列表中选择一个包,然后选择Wireshark工具栏菜单的”Following TCP Streams”选项(或者使用包列表鼠标右键的上下文菜单)。然后,Wireshark就会创建合适的显示过滤器,并弹出一个对话框显示TCP流的所有数据。流的内容出现的顺序同他们在网络中出现的顺序一致。从A到B的通信标记为红色,从B到A的通信标记为蓝色。非打印字符将会被显示为圆点。
- 分析:截取出如下聊天记录
[{
'content':'hi','stime':'15:36:39'}]
content=i am here what?&sender=haiou&geter=haozi 15:36:48
[{
'content':'next week','stime':'15:37:07'}]
[{
'content':'we can go somewher
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
