• wireshark使用(数据提取,用户名密码解码,cookie编码解码)


    wireshark使用(数据提取,用户名密码解码,cookie编码解码)
    20160603 Chenxin
    20181217 update
    0.常用过滤条件
    ip.addr == 175.102.134.106
    ip.src == x.x.x.x
    ip.dst == x.x.x.x
    tcp.port == 80
    udp.port == 53
    dns
    http
    ip.addrx.x.x.x && tcp.port21、tcp.port21 or udp.port53

    1.数据过滤
    找到感兴趣的数据.
    由于抓包是包含网卡所有业务通信数据,看起来比较杂乱,我们可以根据需求在Filter对话框中输入命令进行过滤。常用过滤包括IP过滤(如:ip.addrx.x.x.x,ip.src x.x.x.x,ip.dst== x.x.x.x)、协议过滤(如:HTTP、HTTPS、SMTP、ARP等)、端口过滤(如:tcp.port21、udp.port53)、组合过滤(如:ip.addrx.x.x.x && tcp.port21、tcp.port21 or udp.port53)。更多过滤规则可以在Expression中进行学习查询。
    http.request.method==POST

    2.数据提取
    eg:
    http://yttitan.blog.51cto.com/70821/1737904 数据流追踪
    http://yttitan.blog.51cto.com/70821/1738099 使用winhex还原图片文件
    获取捕获文件.
    找到相应上传的那个开始数据包.
    对该数据包使用 右键->"追踪流"->"TCP流",选择本地到远端上传的选项显示(上传为红色,下载为蓝色),以"原始数据"格式另存为普通二进制文件.
    使用winhex打开二进制文件,根据TCP流中上传前的标记和上传完成的标记裁剪出来(原始文件中换行符用十六进制表示是 “0D 0A”,因为有两个,所以我们在图片名字test.jpg附近寻找“0D 0A 0D 0A”,后面的部分就表示图片的开始。),另存为jpeg文件及可以了.

    3.用户名和密码
    通过抓包,获取提交用户名和密码段文本如下:
    name=chenxin6676&pwd=806d4d3a452fc35795187dd8cdddec95&validcode=&isauto=true&type=json&backurl=http%253a%252f%252fwww.autohome.com.cn%252fchengdu%252f&url=http%253a%252f%252fwww.autohome.com.cn%252fchengdu%252f&
    用户名部分:被url encode进行编码提交,可以直接将 %E8%89%AF%E6%B0%91 (对应的中文是"良民")复制到firefox的地址栏,会自动解析成中文.或者通过网上的在线工具进行转换.
    密码部分:这里需要分析页面的加密方式,这里是md5的加密方式.但由于密码比较复杂,在线解密时间会比较长,或者需要花钱解密.最安全的方式是这里使用ssl加密.

    POST /Login/ValidIndex HTTP/1.1
    Host: account.autohome.com.cn
    Connection: keep-alive
    Content-Length: 211
    Origin: http://account.autohome.com.cn
    User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.87 Safari/537.36
    Content-Type: application/x-www-form-urlencoded; charset=UTF-8
    Accept: /
    Referer: http://account.autohome.com.cn/?backurl=http%3A%2F%2Fwww.autohome.com.cn%2Fchengdu%2F
    Accept-Encoding: gzip, deflate
    Accept-Language: zh-CN,zh;q=0.8
    Cookie: sessionid=7141AB2F-9B25-3538-2ADD-3077A9B9E951%7C%7C2016-02-16+17%3A04%3A43.186%7C%7C0; sessionuid=7141AB2F-9B25-3538-2ADD-3077A9B9E951||2016-02-16+17%3A04%3A43.186||0; WarningClose=1; _ga=GA1.3.195390752.1455613451; sessionip=125.70.0.195; FootPrints=22371%7C2016-5-18%2C17084%7C2016-4-29%2C; fvlid=14643225995563CB87J5S; cookieCityId=510100; pvidlist=70fb4d02-5a98-475b-838a-...

    name=chenxin6676&pwd=806d4d3a452fc35795187dd8cdddec95&validcode=&isauto=true&type=json&backurl=http%253a%252f%252fwww.autohome.com.cn%252fchengdu%252f&url=http%253a%252f%252fwww.autohome.com.cn%252fchengdu%252f&

    4.cookie部分
    cookie部分也是采用的url encode方式进行的编码处理,注意含有"%"的字段.
    比如:
    backurl=http%253a%252f%252fwww.autohome.com.cn%252fchengdu%252f&url=http%253a%252f%252fwww.autohome.com.cn%252fchengdu%252f& 经过2次url encode解码,就变成以下url地址:
    backurl=http://www.autohome.com.cn/chengdu/&url=http://www.autohome.com.cn/chengdu/&

    5.结合chrome的开发者工具
    可以查看源码,一些调用关系,密码的加密策略等.

    知识
    wireshark的使用说明
    https://blog.csdn.net/zjy900507/article/details/79303359 网络抓包工具 wireshark 入门教程

  • 相关阅读:
    Python测试框架:pytest
    用Python unittest搭建自动化测试框架
    unittest单元测试框架
    golang获取本地dns服务器
    Go语言HTTP请求头小写问题
    MAC上使用nginx搭建直播服务器
    go packages 学习
    Cloud Native Computing Foundation
    普通文件I/O需要两次复制,内存映射文件mmap一次复制
    page cache & buffer cache
  • 原文地址:https://www.cnblogs.com/chanix/p/12743969.html
Copyright © 2020-2023  润新知