编辑“︁
数据提取
”︁(章节)
跳转到导航
跳转到搜索
警告:
您没有登录。如果您进行任何编辑,您的IP地址会公开展示。如果您
登录
或
创建账号
,您的编辑会以您的用户名署名,此外还有其他益处。
反垃圾检查。
不要
加入这个!
== tshark == tshark作为wireshark的命令行版,高效快捷是它的优点,配合其余命令行工具(awk,grep)等灵活使用,可以快速定位,提取数据从而省去了繁杂的脚本编写 再看<code>Google CTF 2016 Forensic-200</code>这一题,可以通过tshark迅速完成解题 <pre class="shll">what@kali:/tmp$ tshark -r capture.pcapng -T fields -e usb.capdata > data2.txt what@kali:/tmp$ # awk -F: 'function comp(v){if(v>127)v-=256;return v}{x+=comp(strtonum("0x"$2));y+=comp(strtonum("0x"$3))}$1=="01"{print x,y}' data.txt > data3.txt what@kali:/tmp$ gnuplot > plot "data3.txt"</pre> * Step 1 鼠标协议中数据提取 * Step 2 通过awk进行位置坐标转换 * Step 3 形成图形 ----- === 常用方法 === <blockquote><code>tshark -r **.pcap –Y ** -T fields –e ** | **** > data</code> </blockquote> <pre>Usage: -Y <display filter> packet displaY filter in Wireshark display filter syntax -T pdml|ps|psml|json|jsonraw|ek|tabs|text|fields|? format of text output (def: text) -e <field> field to print if -Tfields selected (e.g. tcp.port, _ws.col.Info)</pre> 通过<code>-Y</code>过滤器(与wireshark一致),然后用<code>-T filds -e</code>配合指定显示的数据段(比如usb.capdata) * <code>tips</code> ** <code>-e</code>后的参数不确定可以由 <code>wireshark</code> 右击需要的数据选中后得到 === 例题 === <blockquote>题目:<code>google-ctf-2016 : a-cute-stegosaurus-100</code> </blockquote> 这题的数据隐藏的非常巧妙,而且有一张图片混淆视听,需要对<code>tcp</code>协议非常熟悉,所以当时做出来的人并不多,全球只有 <code>26</code> 支队伍 在<code>tcp</code>报文段中有6Bit的状态控制码,分别如下 * URG:紧急比特(urgent),当URG=1时,表明紧急指针字段有效,代表该封包为紧急封包。它告诉系统此报文段中有紧急数据,应尽快传送(相当于高优先级的数据) * ACK:确认比特(Acknowledge)。只有当ACK=1时确认号字段才有效,代表这个封包为确认封包。当ACK=0时,确认号无效。 * PSH:(Push function)若为1时,代表要求对方立即传送缓冲区内的其他对应封包,而无需等缓冲满了才送。 * RST:复位比特(Reset) ,当RST=1时,表明TCP连接中出现严重差错(如由于主机崩溃或其他原因),必须释放连接,然后再重新建立运输连接。 * SYN:同步比特(Synchronous),SYN置为1,就表示这是一个连接请求或连接接受报文,通常带有 SYN 标志的封包表示『主动』要连接到对方的意思。。 * FIN:终止比特(Final),用来释放一个连接。当FIN=1时,表明此报文段的发送端的数据已发送完毕,并要求释放运输连接。 而这里的<code>tcp.urg</code>却为 [[File:figure/urg.png|urg]] 通过tshark提取<code>tcp.urg</code>然后去除0的字段,换行符转<code>,</code>直接转换成python的列表,转ascii即可得到flag <pre>⚡ root@kali: tshark -r Stego-200_urg.pcap -T fields -e tcp.urgent_pointer|egrep -vi "^0$"|tr '\n' ',' Running as user "root" and group "root". This could be dangerous. 67,84,70,123,65,110,100,95,89,111,117,95,84,104,111,117,103,104,116,95,73,116,95,87,97,115,95,73,110,95,84,104,101,95,80,105,99,116,117,114,101,125,# ... >>> print "".join([chr(x) for x in arr]) #python转换ascii CTF{And_You_Thought_It_Was_In_The_Picture}</pre> <blockquote>题目:<code>stego-150_ears.xz</code> </blockquote> '''Step 1''' 通过<code>file</code>命令不断解压得到 <code>pcap</code> 文件 <syntaxhighlight lang="shell">➜ Desktop file ears ears: XZ compressed data ➜ Desktop unxz < ears > file_1 ➜ Desktop file file_1 file_1: POSIX tar archive ➜ Desktop 7z x file_1 7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21 p7zip Version 16.02 (locale=en_US.UTF-8,Utf16=on,HugeFiles=on,64 bits,1 CPU Intel(R) Core(TM) i7-4710MQ CPU @ 2.50GHz (306C3),ASM,AES-NI) Scanning the drive for archives: 1 file, 4263936 bytes (4164 KiB) Extracting archive: file_1 -- Path = file_1 Type = tar Physical Size = 4263936 Headers Size = 1536 Code Page = UTF-8 Everything is Ok Size: 4262272 Compressed: 4263936</syntaxhighlight> '''Step 2''' 通过 <code>wireshark</code> 发现 <code>dns</code> 中回应名字存在异常,组成 <code>16</code> 进制的 <code>png</code> 文件 采用 <code>tshark</code> 进行提取,提取 <code>dns</code> 中的数据,筛选具体报文形式<code>\w{4,}.asis.io</code> <code>tshark -r forensic_175_d78a42edc01c9104653776f16813d9e5 -T fields -e dns.qry.name -e dns.flags|grep 8180|awk '{if ($1~/\w{4,}.asis.io/) print $1}'|awk -F '.' '{print $1}'|tr -d '\n' > png</code> '''Step 3''' <code>16</code> 进制还原图片 <code>xxd -p -r png flag</code>
摘要:
请注意,所有对gamedev的贡献均可能会被其他贡献者编辑、修改或删除。如果您不希望您的文字作品被随意编辑,请不要在此提交。
您同时也向我们承诺,您提交的内容为您自己所创作,或是复制自公共领域或类似自由来源(详情请见
Gamedev:著作权
)。
未经许可,请勿提交受著作权保护的作品!
取消
编辑帮助
(在新窗口中打开)
导航菜单
个人工具
未登录
讨论
贡献
创建账号
登录
命名空间
页面
讨论
不转换
不转换
简体
繁體
大陆简体
香港繁體
澳門繁體
大马简体
新加坡简体
臺灣正體
查看
阅读
编辑
查看历史
更多
搜索
导航
首页
最近更改
随机页面
MediaWiki帮助
工具
链入页面
相关更改
特殊页面
页面信息