2023年7月3日发(作者：)

Wireshark教程

一、界面

二、认识数据包

网络的7层次结构：物理层、数据链路层、网络层、传输层、表示层、会话层、应用层

物理层数据帧概况：

数据链路层以太网帧头部信息

MAC地址：是网卡的物理地址前3组是表示生产厂家、后3组是厂家对网卡的编号

IP地址是我们定义的，可以随便更改

ARP协议就是用来对二者进行转换的

1 互联网层IP包头部信息

其它内容

三、过滤器设置

过滤器的区别

捕捉过滤器（CaptureFilters）：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。

显示过滤器（DisplayFilters）：在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。

那么我应该使用哪一种过滤器呢？

两种过滤器的目的是不同的。

2 捕捉过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，以避免产生过大的日志文件。

显示过滤器是一种更为强大（复杂）的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。

两种过滤器使用的语法是完全不同的。

显示过滤器

snmp || dns || icmp //显示SNMP或DNS或ICMP封包。

== 10.1.1.1 //显示来源或目的IP地址为10.1.1.1的封包。

==172.16.1.102 //显示来源是172.16.1.102的数据包

!= 10.1.2.3 or != 10.4.5.6 //显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。

!= 10.1.2.3 and != 10.4.5.6 //显示来源不为10.1.2.3并且目的IP不为10.4.5.6的封包。

== 25 //显示来源或目的TCP端口号为25的封包。

t == 25 //显示目的TCP端口号为25的封包。

//显示包含TCP标志的封包。

== 0x02 //显示包含TCP SYN标志的封包。

可以从上面看过滤器设置的规则

通过这里的背景可以判断使用的语法是否正确：红色背景表示语法错误，绿色背景表示正确并且可以运行，黄色背景表示语法正确，但是可能没有结果。

1、使用字段名来过滤

在过滤器中输入：==”GET” ，将显示使用GET方法获取数据的所有包

3 2、显示一个地址范围的数据

3、使用比较运算符

4、使用端口过滤器

5、根据IP地址过滤

注意是两个等于符号

4 6、显示一个子网IP的数据

将过滤条件改为 ==”POST”

http && http contains”flag”过滤一下

5

6 数据分析与取证-attack

1.使用 Wireshark 查看并分析 WindowsXP 桌面下的 数据包文件，通过分析数据包

找出黑客的 IP 地址，并将黑客的 IP 地址作为 FLAG（形式：[IP 地址]）提交；

答案：[172.16.1.102]

分析：找到POST的数据包，发现上传了一个的文件，内容是一句话木马，所以其source就是黑客地址

难点：怎样设置过滤器找到POST的包。在过滤器中输入：==”POST”

==172.16.1.102

2.继续查看数据包文件 g，分析出黑客扫描了哪些端口，并将全部的端口作为 FLAG（形式：[端口名

1，端口名 2，端口名 3…，端口名n]）从低到高提交；

解题思路：

一般的扫描行为，是以ARP广播包的方式去探测网络中有哪些主机是处于开机状态。扫描行为是扫描一个网段中所有的IP地址，因此就会向该网段中所有的IP地址发送ARP广播包，包括没有主机使用的IP地址。

当检测到某一个IP所对应的主机是开机状态后，就会进一步对该主机进行端口探测，以获知该主机哪些端口是开放的，哪些端口有漏洞存在。

使用过滤只显示source是黑客地址并且使用TCP的包：==172.16.1.102 and tcp

参考答案：21,23,80,445,3389,5007

端口解析：

21是FTP（文件传输）协议代理服务器常用端口号；23 是Telnet（远程登录）协议代理服务器常用端口号

80是浏览器网页使用的端口。HTTP协议代理服务器常用端口号：80/8080/3128/8081/9098

WIN2003远程登录，默认端口号为3389。445端口是使用共享文件夹的端口Microsoft-DS

5007是wsm服务器ssl：wsm(web-based system manager)是基于web的系统管理程序,它是一个客户-服务器方式的图形化程序.它的图形界面可以使用户管理本地系统和远程系统

7 3.继续查看数据包文件 g 分析出黑客最终获得的用户名是什么，并将用户名作为 FLAG（形式：[用户名]）提交；

解题思路：可使用过滤器：==172.16.1.102 and http 找到，这是黑客登录时使用的页面。

或者使用过滤器： http contains "username" and =172.16.1.102

参考答案：Lancelot

4.继续查看数据包文件 g 分析出黑客最终获得的密码是什么，并将密码作为 FLAG（形式：[密码]）提交；

参考答案：12369874

5.继续查看数据包文件 g 分析出黑客连接一句话木马的密码是什么，并将一句话密码作为 FLAG（形式：[一句话密码]）提交；

解题思路：在wireshark中筛选HTTP的数据包，找到一个比较可疑的访问,如图~~~ (可以看出有很大可疑是木马,双击打开数据包一探究竟)

由此得知，题1中需要找的黑客IP就是 172.16.1.102 。。。。。

可使用过滤器：==172.16.1.102 and http

答案：[alpha]

疑问：会不会是

本题的另一种解法：

直接用记事本打开数据包文件，查找POST。

8 6.继续查看数据包文件 g 分析出黑客下载了什么文件，并将文件名及后缀作为 FLAG（形式：[文件名.后缀名]）提交；

解题思路：对题5 找到的3个POST类型的数据包 一个一个打开看看

打开第二个数据包，发现有一个的文件,那么究竟是不是这个文件呢,继续看下一个数据包

打开第三个数据包,可以看出,是下载了。。。PK是ZIP文件的头部 应该没记错

答案：

7.继续查看数据包文件 g 提取出黑客下载的文件，并将文件里面的内容为 FLAG（形式：[文件内容]）提交；

解题思路：使用winhex还原压缩包。。。。或者使用binwalk进行分离，会分离出来一个，将内容提交

下载的文件，流向应该是从服务器到黑客的ip地址。==172.16.1.101 and ==172.16.1.102 and http

答案：flag{Manners maketh man}

9 知识点：查看下载的文件中是否包含其他文件的时候一般都需要kali里面的一个工具binwalk -e g

直接执行" binwalk 所要查看的文件的路径" ，得到文件中包含的其他文件的信息；然后执行“ binwalk -e 文件路径 ”，得到分离后的文件。（与原文件在同一目录下）

10 Wireshark数据包分析-capture3（100分）

1. 使用Wireshark查看并分析PYsystem20191桌面下的数据包文件，找出黑客登录被攻击服务器网站后台使用的账号密码，并将黑客使用的账号密码作为Flag值（用户名与密码之间以英文逗号分隔，例如：root,toor）提交；（9分）

解题思路：黑客必须使用登录页面（类似）的网页文件登录后台，所以使用http过滤，查找登录页面，注意，登录失败failure的不算；看登录后成功success的才可以。

Flag: admin,

2. 继续分析数据包，找出黑客攻击FTP服务器后获取到的三个文件，并将获取到的三个文件名称作为Flag值（提交时按照文件下载的时间的先后顺序排序，使用/分隔，例如：a/b/c）提交；（17分）

解题：过滤器：ftp

思路：看到有3个txt文件，且后面有个包显示“Transfer complete”

//

3. 继续分析数据包，找出黑客登录服务器后台上传的一句话木马，并将上传前的一句话木马的文件名称作为Flag值（例如：muma）提交；（13分）

这题还是可以用记事本打开，查找POST

11

可以看到，一句话木马的密码为：Cknife ，文件名称是

还有这句话： Upload Success。上传成功

4. 继续分析数据包，找出黑客上传的一句话木马的连接密码，并将一句话木马的连接密码作为Flag值（例如：abc123）提交；（13分）

5. 继续分析数据包，找出黑客上传一句话木马后下载的服务器关键文件，并将下载的关键文件名称作为Flag值提交；（15分）

不会？

使用http过滤，查看上传完木马后的数据包，将z1的值就行base64解密

这几个包应该都是下载这个文件的，最后的一个包显示了数据。

12 6. 继续分析数据包，找出黑客第二次上传的木马文件，并将该木马文件的连接密码作为Flag值（例如：abc123）提交；（11分）

使用http过滤，查找可疑的POST或GET的数据。发现这次是GET方式提交的密码

Flag: adminPHP

7. 继续分析数据包，找出黑客通过木马使用的第一条命令，并将该命令作为Flag值提交；（9分）

不会？下面发现两个200 OK的包，第一个显示的数据应该是netstat -an显示的结果

第二个应该是ping 命令：ping 192.168.13.128

没有找到执行命令的语句，只看到结果

第一次上传完木马后也有几个结果，200 OK

13 应该是把木马上传到这个目录了，下面有一个dir的命令显示

应该是黑客查看了一下木马文件是否在这个目录中

所以，这题的参考答案是：netstat -an或者ping或者dir

8.继续分析数据包，找出黑客控制了受害服务器后通过受害服务器向自己发送了多少次ICMP请求，并将请求的次数作为Flag值提交。（13分）

思路：使用icmp过滤，查看状态栏中显示的统计结果

抓包题-logs

1.使用Wireshark查看并分析Kali桌面下的数据包文件，通过分析数据包找出恶意用户目录扫描的第9个文件，并将该文件名作为FLAG（形式：[]）提交：

[]

过滤器：http

2.继续查看数据包文件，分析出恶意用户扫描了哪些端口，并将全部的端口作为FLAG（形式：[端口名1，端口名2，端口名3…，端口名n]）从低到高提交：

[21,80,445,1433,3306,3389,5000]

思路：使用黑客的IP地址和TCP协议过滤

过滤器：==172.16.1.10 and tcp

tcp：传输控制协议

14

3.继续查看数据包文件分析出恶意用户读取服务器的文件名是什么，并将该文件名作为FLAG（形式：[]）提交：

[]

4.续查看数据包文件分析出恶意用户写入一句话木马的路径是什么，并将该路径作为FLAG（形式：[/root/whoami/]）提交：

[C:/phpstudy/www/]

5.继续查看数据包文件分析出恶意用户连接一句话木马的密码是什么，并将一句话密码作为FLAG（形式：[一句话密码]）提交：

[007]

6.继续查看数据包文件分析出恶意用户下载了什么文件，并将文件名及后缀作为FLAG（形式：[文件名.后缀名]）提交：

[]

7.继续查看数据包文件将恶意用户下载的文件里面的内容作为FLAG（形式：[文件内容]）提交：

[flag{Find You!}]

15