wireshark兩個重要功能

2021-12-09 堯字節
一  前言

wireshark這個軟體的可以說是大名鼎鼎,簡單來說,就是網絡包分析的軟體,包括包的解析,流量分析,網絡包交互分析等,而且是跨平臺,如果要學習網絡協議,分析網絡流量,wireshark肯定是離不開的神器,tshark 可以看做wireshark的命令行版本,基本可以實現wireshark的大部分功能。

二 如何用wireshark中提取http圖片

提取http中傳輸的文件或圖片,一般有兩種辦法,一種是採用導出對象的方法,一種是單個包內容複製另存。

2.1 導出對象方式

菜單路徑:文件-->導出對象-->HTTP ,會顯示傳輸中的文件內容:說明:

可以根據文本和content type 方便過濾文件

tshark相關命令:

tshark -r httpexport.pcapng   --export-objects http,./export/
2.2 複製流數據另存
既然pcap是包括所有的文件傳輸信息,那麼我們可以查詢到圖片的具體傳輸報文,將其另存為對應格式文件即可,比如我們可以這樣搜索:
http contains "slide2.png"
搜到包之後如下展示:
然後,選中這行,右鍵跟蹤tcp流或http流:
顯示如下界面:需要注意幾點:
找到數據邊界,通過我們看http的返回頭,結尾為0d0a 0d0a 即圖中紅色位置。找到邊界後複製下面藍色內容,粘貼到UE等編輯器裡面。通過列編碼模式,去掉前面的序號和後面的ASCII展示。網上下載winhex軟體,這個軟體可以編輯二進位。選擇編輯->粘貼板數據->粘貼到新文件把這個文件另存為222.png 如下圖三 https 私鑰配置3.1 https 配置私鑰方式解密
https作為一個加密的通信協議,如果沒有私鑰或通訊中的保存文件,是沒辦法進行解碼的,如果非對稱加密的算法採用RSA方式,可以通過配置https私鑰的方式進行https的解密 。
路徑為:編輯->首選項->Protocols->TLS 點擊RSA keys list中的Edit... 按鈕,在彈出的對話框中填寫ip地址(即https伺服器的ip),port(https的通訊埠一般為443),Protocol 我們這裡面為http,Password(加密私鑰的加密密碼,如果部加密可以為空,Key File 來指定我們的私鑰文件。
比如我的測試地址的私鑰:
BEGIN RSA PRIVATE KEY
MIICXAIBAAKBgQCr7be/zFXRYeapyZEi6QK+HvB8wjb82Wu7gNfoTv/uj3I1lsVM
PPFpJ6WGAUse8xkZN/2/ODTws779KfwdQAiGgbbst9Vutwty7oVNZoB/5GWg6mu2
paq5m08+Okfs+hUVVR98Bcm5PIxP1YsUV6mS+tALcUZSKk6Yt3FIUtYKbQIDAQAB
AoGAflpCBG8DUtIEVxuP0nw0S80pKEcDamfPSQmzo0MLzCMX6FJZxWG0eXdtqkIh
FynJdEM19OY14f/3iM7mPgjlOd21DiwHJ2Pj3a+TqDVh9c2auQp38aI/t3UDU6ym
98ReXycf1pC71y2plURdsovFOVrmyISblFGKug0WpBI5DnECQQDwdrDtj+mQvqga
7rtswzLNXcqAmdhBpyTfKl/tBmimUWGEzXH6mfJchnLmMvqiF0uW2pNkPT8JzbJz
RguarTI3AkEAtwlyBThtNxQfyYZUBDAtTrsX+ZnC3iDTnsSo+uYzMy6ExvMqQCfN
99oirlAtDHcPJ79y2GS5gdcMyqkNQstmewJAR8wop8YAhydmKiR98cuWr5sBi8Rj
vbaaW8fbPHpdZMuHwo9VKO4uX1IFnJY8H4m1GCXLPHLND7BLR//yFwz/oQJBALZR
skGA80jpwr/6DbYeRwMlWbxGbNTV3fVH7wn8QwO4UonZrTw6ae94WRNIyZahAXeW
O89QhXfPve4gdhUShgECQBPHZcgQePzeDZf5/SS5iiv8ecFpyAd8Revqp/oN+PQS
I9Z999IqEcrCgpP7BzHnoRJwYExxVU3sSjXzpqw9DdE=
END RSA PRIVATE KEY
3.2 通過logfile方式解密
不是所有的https版本的數據, 以通過私鑰的方式解密的,有的通信密鑰無法通過私鑰完整還原出當時的交互(中間的對稱密鑰保存在內存,每次交互都會改變)。如果我們可以在本機通過瀏覽器訪問的網站,瀏覽器在和https伺服器交互的時候,肯定有這次通話的密鑰,我們保存了瀏覽器和https伺服器交互的日誌,通過這個日誌wireshark也可以解密https的通訊包,如下配置:配置環境變量:SSLKEYLOGFILE 值為具體的保存日誌的文件路徑如下:
關閉所有chrome瀏覽器,且要打開chrome瀏覽器的開發者模式(在瀏覽器三個點點進去後找到擴展程序的右上方開啟),然後開始抓包訪問https的網站,記錄的key.log 大概內容如下:
然後同樣和3.1同樣解密的配置配置下pre master key的路徑即可:
關閉後,可以看到解密的內容是下面這個樣子:
注意沒事還是關閉這個開發者模式,或者刪除環境變量,因為key.log文件被黑客獲取,再抓包,那就算訪問https網站也部安全了,這是比較可怕的事情,包括你的淘寶的帳號密碼,有可能都會被輕易獲取了。

風雨同行,感謝有你!

相關焦點

  • Wireshark中文版
    太平洋下載中心為您提供wireshark中文版下載。2、主工具欄提供快速訪問菜單中經常用到的項目的功能。3、Fiter toolbar/過濾工具欄提供處理當前顯示過濾得方法。4、Packet List面板顯示打開文件的每個包的摘要。點擊面板中的單獨條目,包的其他情況將會顯示在另外兩個面板中。5、Packet detail面板顯示您在Packet list面板中選擇的包德更多詳情。
  • WireShark的安裝和信令抓取
    Ubuntu環境安裝wiresharkwireshark是一個用來抓包的好幫手,使用它可讓我們看到埠數據變化(tcp/udp/http
  • 從Wireshark抓包看HTTPS的加密功能 - 砍柴網
    HTTP協議抓包1.開啟wireshark並配置受監聽的網卡,點擊捕獲->選項,並選擇有正在使用的網卡,點擊「開始」2,我們需要在瀏覽器中輸入一個是HTTP請求的連接,並嘗試使用測試的用戶名和密碼,並輸入驗證碼信息。
  • 史上最簡單的 Wireshark 和 TCP 入門指南
    閱讀目錄wireshark介紹wireshark不能做的wireshark VS Fiddler同類的其他工具什麼人會用到wiresharkwireshark 開始抓包wireshark 窗口介紹wireshark 顯示過濾保存過濾
  • Wireshark 基本介紹和學習 TCP 三次握手
    閱讀目錄wireshark介紹wireshark不能做的wireshark VS Fiddler同類的其他工具什麼人會用到wiresharkwireshark 開始抓包wireshark 窗口介紹wireshark 顯示過濾保存過濾過濾表達式
  • Wireshark的抓包原理
    抓包原理主要由兩部分,網絡原理和wireshark底層原理。根據不同的抓包方式,網絡原理也有不同。主要有三種:最簡單直接的一種方式,直接抓取本機網卡進出流量,也就是本機與網際網路之間的交互的數據包。在了解底層原理前我們先看一下Wireshark的功能模塊。下圖為wireshark的架構圖。
  • Linux命令行抓包及包解析工具tshark(wireshark)使用實例解析
    Linux命令行抓包及包解析工具tshark(wireshark)使用實例解析在Linux下,當我們需要抓取網絡數據包分析時,通常是使用tcpdump抓取網絡raw數據包存到一個文件,然後下載到本地使用wireshark界面網絡分析工具進行網絡包分析。
  • 手機數據抓包以及wireshark技巧
    Tcpdump程序實際上可以看作是wireshark的命令行版本,將該程序移植到Android平臺直接抓包,這是一種最直接的抓包方式,然後將抓獲的數據包文件,從手機傳到windows系統上用wireshark打開進行分析,這種方式貌似不能用於蘋果手機。
  • wireshark抓包使用教程
    下載路徑:win10pcap兼容性安裝包Wireshark 開始抓包示例   先介紹一個使用wireshark工具抓取ping命令操作的示例,讓讀者可以先上手操作感受一下抓包的具體過程。  3、wireshark啟動後,wireshark處於抓包狀態中。
  • wireshark抓包新手使用教程
    Wireshark 開始抓包示例   先介紹一個使用wireshark工具抓取ping命令操作的示例,讓讀者可以先上手操作感受一下抓包的具體過程。   先介紹一個使用wireshark工具抓取ping命令操作的示例,讓讀者可以先上手操作感受一下抓包的具體過程。
  • Wireshark 的抓包和分析,看這篇就夠了!
    網絡封包分析軟體的功能是擷取網絡封包,並儘可能顯示出最為詳細的網絡封包資料。Wireshark使用WinPCAP作為接口,直接與網卡進行數據報文交換。在網絡封包和流量分析領域有著十分強大功能的工具,深受各類網絡工程師和網絡分析師的喜愛。本文主要內容包括:2、WireShark簡單抓包示例。通過該例子學會怎麼抓包以及如何簡單查看分析數據包內容。
  • Wireshark的抓包和分析,看這篇就夠了!
    網絡封包分析軟體的功能是擷取網絡封包,並儘可能顯示出最為詳細的網絡封包資料。Wireshark使用WinPCAP作為接口,直接與網卡進行數據報文交換。在網絡封包和流量分析領域有著十分強大功能的工具,深受各類網絡工程師和網絡分析師的喜愛。本文主要內容包括:2、WireShark簡單抓包示例。通過該例子學會怎麼抓包以及如何簡單查看分析數據包內容。
  • WireShark+Winhex:流量分析的好搭檔
    這篇文章你將學會的知識點有1、進階的wireshark的流量分析、解碼、追蹤流、導出文件2、利用
  • 可能是目前最簡單易懂且實用的 TCPDump 和 Wireshark 抓包及分析教程!
    : client 對 server 的 #6 進行應答#8: server 向 client 端繼續發送 179 字節數據#9: client 對 server 的 #8 進行應答3.4 四次揮手最後是四次揮手 [5]:client -> server: FIN (我們看到的是 FIN+ACK,這是因為這個 FIN 包除了正常的關閉連接功能之外
  • BT5 + wireshark玩wifi捕獲和中間人攻擊
    (對原文PDF文檔感興趣的留郵箱,我發給你)BT5 + wireshark玩wifi數據包捕獲和session注入(中間人攻擊)介紹:主要思路是通過偽造相同名稱的wifi接入點,配合發送ARP數據包,攻擊連入偽造wifi的用戶。
  • Wireshark 3.6.0正式發布,它有什麼新特性?
    Ubuntu 20.04系統上安裝wiresharksudo apt install wiresharkUbuntu 20.04系統上安裝wireshark根據提示選擇是否讓普通權限的用戶使用抓包功能。4. 總結Wireshark是世界上最先進、應用最廣泛的網絡協議分析器。
  • 網絡抓包工具Wireshark v3.4.10
    數據包詳細信息面板是最重要的,用來查看協議中的每一個欄位。)Internet Protocol Version 4: 網際網路層IP包頭部信息  (4)Transmission Control Protocol:  傳輸層T的數據段頭部信息,此處是TCP  (5)Hypertext Transfer Protocol:  應用層的信息,此處是HTTP協議TCP包的具體內容 從下圖可以看到wireshark
  • 網絡抓包工具wireshark使用教程
    今日【優質課程推薦】:網絡抓包工具wireshark使用教程;低價獲取網課資源!
  • wireshark使用及實列分析
    最近在HW,主要工作就是判斷各個設備日誌,分析數據包,對wireshark
  • WireShark(威而鯊)之進階七手
    Wireshark上只能在同一個實體運行一個抓包進程,所以有的情況,可能需要同時開啟多個Wireshark實體同時進行抓包,此時合併抓包文件的功能就很有用了。有兩種方法可以合併抓取文件:1.6  數據統計WireShark提供多種多樣的統計功能。