wireshark之文件还原

wireshark之文件还原,第1张

0x01:实验目的:使用wireshark进行被动数据包捕获后的文件还原

0x02:实用工具-wireshark/winhex

wireshark可以监听网络流量信息并雀雹且将其记录

winhex是一款16进制的编辑器,用来检修各种文件,恢复删除文件以及硬盘损坏造成的数据丢失

0x03:实验目标:1)黑客A通过ARP欺骗,使用wireshark得到整个局域网内的网络流量信息。无意中,他发现有人在网站上上传了一份文件。但是他不知道怎样通好好过wireshark区还原这份文件,没办法,他将间听到的数据包保存为一份wireshark的监听记录,将通过以下三个任务完成那份文件的还原。

1.对抓到的包进行显示过滤,找到关键信息

2.对信息进行跟踪,确定上传文件的TCP流,并保存为二进制原始文件。

3.对文件中上传文件的信息进行处理,去掉多余的包头和包尾,得到原始文件。

任务描述:使用wireshark导入监听数据包,对数据进行显示过滤,提取出来关键信息。

1.打开catchme.pcapng,双击即可,会看到数据记录有148条。如果单存的从开始到结束一条条审计,很累,实际情况下可能会更多,我们就要过滤了

2.使用强大的过滤显示功能,在filter中可以自定义显示数据包类型。顷袜帆此处上传时访问的是网站,以你使用查看所有http包

3.在filter中输入http 回车(变成32个了,少了很多)

4.细看,我们在记录inf中看到upload,那就是上传的数据了,如果你有网站编写的经验,你就知道上传文件提交可以使用POST一个表单的形式。所以,你同样可以使用包过滤显示,选出所有使用post方法提交的数据包,我们输入:http.request.method=="post"(精确点)

实验开始

输入http 或输入http.request.method==”POST”找到upload

打开文件查看发现文件挺大的,分成了5段上传

使用weinhex去掉头和尾,使用照片查看器打开png格式文件

wireshark 是一款网络数据抓包软件。能够嗅探到一些诸如:POP3、FTP的登录密码、还能够分析抓取到的各种数据包。但是一般来说圆败,还原抓取到的各种格式唤乎的橘链颤信息包还是比较困难的。


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/tougao/12233587.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-05-22
下一篇 2023-05-22

发表评论

登录后才能评论

评论列表(0条)

保存