wireshark使用(数据提取,用户名密码解码,cookie编码解码)
20160603 Chenxin
20181217 update
0.常用过滤条件
ip.addr == 175.102.134.106
ip.src == x.x.x.x
ip.dst == x.x.x.x
tcp.port == 80
udp.port == 53
dns
http
ip.addrx.x.x.x && tcp.port21、tcp.port21 or udp.port53
1.数据过滤
找到感兴趣的数据.
由于抓包是包含网卡所有业务通信数据,看起来比较杂乱,我们可以根据需求在Filter对话框中输入命令进行过滤。常用过滤包括IP过滤(如:ip.addrx.x.x.x,ip.src x.x.x.x,ip.dst== x.x.x.x)、协议过滤(如:HTTP、HTTPS、SMTP、ARP等)、端口过滤(如:tcp.port21、udp.port53)、组合过滤(如:ip.addrx.x.x.x && tcp.port21、tcp.port21 or udp.port53)。更多过滤规则可以在Expression中进行学习查询。
http.request.method==POST
2.数据提取
eg:
http://yttitan.blog.51cto.com/70821/1737904 数据流追踪
http://yttitan.blog.51cto.com/70821/1738099 使用winhex还原图片文件
获取捕获文件.
找到相应上传的那个开始数据包.
对该数据包使用 右键->"追踪流"->"TCP流",选择本地到远端上传的选项显示(上传为红色,下载为蓝色),以"原始数据"格式另存为普通二进制文件.
使用winhex打开二进制文件,根据TCP流中上传前的标记和上传完成的标记裁剪出来(原始文件中换行符用十六进制表示是 “0D 0A”,因为有两个,所以我们在图片名字test.jpg附近寻找“0D 0A 0D 0A”,后面的部分就表示图片的开始。),另存为jpeg文件及可以了.
3.用户名和密码
通过抓包,获取提交用户名和密码段文本如下:
name=chenxin6676&pwd=806d4d3a452fc35795187dd8cdddec95&validcode=&isauto=true&type=json&backurl=http%253a%252f%252fwww.autohome.com.cn%252fchengdu%252f&url=http%253a%252f%252fwww.autohome.com.cn%252fchengdu%252f&
用户名部分:被url encode进行编码提交,可以直接将 %E8%89%AF%E6%B0%91 (对应的中文是"良民")复制到firefox的地址栏,会自动解析成中文.或者通过网上的在线工具进行转换.
密码部分:这里需要分析页面的加密方式,这里是md5的加密方式.但由于密码比较复杂,在线解密时间会比较长,或者需要花钱解密.最安全的方式是这里使用ssl加密.
POST /Login/ValidIndex HTTP/1.1
Host: account.autohome.com.cn
Connection: keep-alive
Content-Length: 211
Origin: http://account.autohome.com.cn
User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.87 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept: /
Referer: http://account.autohome.com.cn/?backurl=http%3A%2F%2Fwww.autohome.com.cn%2Fchengdu%2F
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: sessionid=7141AB2F-9B25-3538-2ADD-3077A9B9E951%7C%7C2016-02-16+17%3A04%3A43.186%7C%7C0; sessionuid=7141AB2F-9B25-3538-2ADD-3077A9B9E951||2016-02-16+17%3A04%3A43.186||0; WarningClose=1; _ga=GA1.3.195390752.1455613451; sessionip=125.70.0.195; FootPrints=22371%7C2016-5-18%2C17084%7C2016-4-29%2C; fvlid=14643225995563CB87J5S; cookieCityId=510100; pvidlist=70fb4d02-5a98-475b-838a-...
name=chenxin6676&pwd=806d4d3a452fc35795187dd8cdddec95&validcode=&isauto=true&type=json&backurl=http%253a%252f%252fwww.autohome.com.cn%252fchengdu%252f&url=http%253a%252f%252fwww.autohome.com.cn%252fchengdu%252f&
4.cookie部分
cookie部分也是采用的url encode方式进行的编码处理,注意含有"%"的字段.
比如:
backurl=http%253a%252f%252fwww.autohome.com.cn%252fchengdu%252f&url=http%253a%252f%252fwww.autohome.com.cn%252fchengdu%252f& 经过2次url encode解码,就变成以下url地址:
backurl=http://www.autohome.com.cn/chengdu/&url=http://www.autohome.com.cn/chengdu/&
5.结合chrome的开发者工具
可以查看源码,一些调用关系,密码的加密策略等.
知识
wireshark的使用说明
https://blog.csdn.net/zjy900507/article/details/79303359 网络抓包工具 wireshark 入门教程