Wireshark教程一、界面二、认识数据包网络的7层次结构：物理层、数据链路层、网络层、传输层、表示层、会话层、应用层物理层数据帧概况：数据链路层以太网帧头部信息MAC地址：是网卡的物理地址前3组是表示生产厂家、后3组是厂家对网卡的编号IP地址是我们定义的，可以随便更改ARP协议就是用来对二者进行转换的互联网层IP包头部信息其它内容三、过滤器设置过滤器的区别捕捉过滤器（CaptureFilters）：用于决定将什么样的信息记录在捕捉结果中。

需要在开始捕捉前设置。

显示过滤器（DisplayFilters）：在捕捉结果中进行详细查找。

他们可以在得到捕捉结果后随意修改。

那么我应该使用哪一种过滤器呢？两种过滤器的目的是不同的。

捕捉过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，以避免产生过大的日志文件。

显示过滤器是一种更为强大（复杂）的过滤器。

它允许您在日志文件中迅速准确地找到所需要的记录。

两种过滤器使用的语法是完全不同的。

显示过滤器snmp || dns || icmp//显示SNMP或DNS或ICMP封包。

ip.addr == 10.1.1.1//显示来源或目的IP地址为10.1.1.1的封包。

ip.src==172.16.1.102 //显示来源是172.16.1.102的数据包ip.src != 10.1.2.3 or ip.dst != 10.4.5.6//显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。

ip.src != 10.1.2.3 and ip.dst != 10.4.5.6 //显示来源不为10.1.2.3并且目的IP不为10.4.5.6的封包。

tcp.port == 25//显示来源或目的TCP端口号为25的封包。

tcp.dstport == 25//显示目的TCP端口号为25的封包。

tcp.flags//显示包含TCP标志的封包。

tcp.flags.syn == 0x02//显示包含TCP SYN标志的封包。

可以从上面看过滤器设置的规则通过这里的背景可以判断使用的语法是否正确：红色背景表示语法错误，绿色背景表示正确并且可以运行，黄色背景表示语法正确，但是可能没有结果。

1、使用字段名来过滤在过滤器中输入：http.request.method==”GET” ，将显示使用GET方法获取数据的所有包3、使用比较运算符4、使用端口过滤器5、根据IP地址过滤注意是两个等于符号将过滤条件改为http.request.method==”POST”http && http contains”flag”过滤一下数据分析与取证-attack1.使用Wireshark 查看并分析WindowsXP 桌面下的attack.pcapng 数据包文件，通过分析数据包attack.pcapng 找出黑客的IP 地址，并将黑客的IP 地址作为FLAG（形式：[IP 地址]）提交；答案：[172.16.1.102]分析：找到POST的数据包，发现上传了一个Q.php的文件，内容是一句话木马，所以其source就是黑客地址难点：怎样设置过滤器找到POST的包。

在过滤器中输入：http.request.method==”POST”ip.src==172.16.1.1022.继续查看数据包文件attack.pacapng，分析出黑客扫描了哪些端口，并将全部的端口作为FLAG（形式：[端口名1，端口名2，端口名3…，端口名n]）从低到高提交；解题思路：一般的扫描行为，是以ARP广播包的方式去探测网络中有哪些主机是处于开机状态。

扫描行为是扫描一个网段中所有的IP地址，因此就会向该网段中所有的IP地址发送ARP广播包，包括没有主机使用的IP地址。

当检测到某一个IP所对应的主机是开机状态后，就会进一步对该主机进行端口探测，以获知该主机哪些端口是开放的，哪些端口有漏洞存在。

使用过滤只显示source是黑客地址并且使用TCP的包：ip.src==172.16.1.102 and tcp参考答案：21,23,80,445,3389,5007端口解析：21是FTP（文件传输）协议代理服务器常用端口号；23 是Telnet（远程登录）协议代理服务器常用端口号80是浏览器网页使用的端口。

HTTP协议代理服务器常用端口号：80/8080/3128/8081/9098WIN2003远程登录，默认端口号为3389。

445端口是使用共享文件夹的端口Microsoft-DS5007是wsm服务器ssl：wsm(web-based system manager)是基于web的系统管理程序,它是一个客户-服务器方式的图形化程序.它的图形界面可以使用户管理本地系统和远程系统3.继续查看数据包文件attack.pacapng 分析出黑客最终获得的用户名是什么，并将用户名作为FLAG（形式：[用户名]）提交；解题思路：可使用过滤器：ip.src==172.16.1.102 and http 找到login.php，这是黑客登录时使用的页面。

或者使用过滤器：http contains "username" and ip.addr=172.16.1.102参考答案：Lancelot4.继续查看数据包文件attack.pacapng 分析出黑客最终获得的密码是什么，并将密码作为FLAG（形式：[密码]）提交；参考答案：123698745.继续查看数据包文件attack.pacapng 分析出黑客连接一句话木马的密码是什么，并将一句话密码作为FLAG（形式：[一句话密码]）提交；解题思路：在wireshark中筛选HTTP的数据包，找到一个比较可疑的访问,如图~~~ (可以看出Q.php有很大可疑是木马,双击打开数据包一探究竟)由此得知，题1中需要找的黑客IP就是172.16.1.102 。

可使用过滤器：ip.src==172.16.1.102 and http答案：[alpha]疑问：会不会是本题的另一种解法：直接用记事本打开数据包文件，查找POST。

6.继续查看数据包文件attack.pacapng 分析出黑客下载了什么文件，并将文件名及后缀作为FLAG（形式：[文件名.后缀名]）提交；解题思路：对题5 找到的3个POST类型的数据包一个一个打开看看打开第二个数据包，发现有一个flag.zip的文件,那么究竟是不是这个文件呢,继续看下一个数据包打开第三个数据包,可以看出,是下载了flag.zip。

PK是ZIP文件的头部应该没记错答案：flag.zip7.继续查看数据包文件attack.pacapng 提取出黑客下载的文件，并将文件里面的内容为FLAG（形式：[文件内容]）提交；解题思路：使用winhex还原压缩包。

或者使用binwalk进行分离，会分离出来一个flag.txt，将内容提交下载的文件，流向应该是从服务器到黑客的ip地址。

ip.src==172.16.1.101 and ip.dst==172.16.1.102 and http答案：flag{Manners maketh man}知识点：查看下载的文件中是否包含其他文件的时候一般都需要kali里面的一个工具binwalk -e attack.pacapng 直接执行" binwalk 所要查看的文件的路径" ，得到文件中包含的其他文件的信息；然后执行“binwalk -e 文件路径”，得到分离后的文件。

（与原文件在同一目录下）Wireshark数据包分析-capture3（100分）1. 使用Wireshark查看并分析PYsystem20191桌面下的capture3.pcap数据包文件，找出黑客登录被攻击服务器网站后台使用的账号密码，并将黑客使用的账号密码作为Flag值（用户名与密码之间以英文逗号分隔，例如：root,toor）提交；（9分）解题思路：黑客必须使用登录页面（类似login.php）的网页文件登录后台，所以使用http过滤，查找登录页面，注意，登录失败failure的不算；看登录后成功success的才可以。

Flag: admin,2. 继续分析数据包capture3.pcap，找出黑客攻击FTP服务器后获取到的三个文件，并将获取到的三个文件名称作为Flag值（提交时按照文件下载的时间的先后顺序排序，使用/分隔，例如：a/b/c）提交；（17分）解题：过滤器：ftp思路：看到有3个txt文件，且后面有个包显示“Transfer complete”LDWpassword.txt/py-jiaoyi.txt/aliyunPassword.txt3. 继续分析数据包capture3.pcap，找出黑客登录服务器后台上传的一句话木马，并将上传前的一句话木马的文件名称作为Flag值（例如：muma）提交；（13分）这题还是可以用记事本打开，查找POST可以看到，一句话木马的密码为：Cknife ，文件名称是trojan.php还有这句话：trojan.php Upload Success。

上传成功4. 继续分析数据包capture3.pcap，找出黑客上传的一句话木马的连接密码，并将一句话木马的连接密码作为Flag 值（例如：abc123）提交；（13分）5. 继续分析数据包capture3.pcap，找出黑客上传一句话木马后下载的服务器关键文件，并将下载的关键文件名称作为Flag值提交；（15分）不会？使用http过滤，查看上传完木马后的数据包，将z1的值就行base64解密这几个包应该都是下载这个文件的，最后的一个包显示了数据。

6. 继续分析数据包capture3.pcap，找出黑客第二次上传的木马文件，并将该木马文件的连接密码作为Flag值（例如：abc123）提交；（11分）使用http过滤，查找可疑的POST或GET的数据。

发现这次是GET方式提交的密码Flag: adminPHP7. 继续分析数据包capture3.pcap，找出黑客通过木马使用的第一条命令，并将该命令作为Flag值提交；（9分）不会？下面发现两个200 OK的包，第一个显示的数据应该是netstat -an显示的结果第二个应该是ping 命令：ping 192.168.13.128没有找到执行命令的语句，只看到结果第一次上传完木马后也有几个结果，200 OK应该是把木马上传到这个目录了，下面有一个dir的命令显示应该是黑客查看了一下木马文件是否在这个目录中所以，这题的参考答案是：netstat -an或者ping或者dir8.继续分析数据包capture3.pcap，找出黑客控制了受害服务器后通过受害服务器向自己发送了多少次ICMP请求，并将请求的次数作为Flag值提交。