从0开始学杂项 第八期:流量分析(2) 数据提取

news2024/11/15 8:02:52

Misc 学习(八) - 流量分析:数据提取

这一期,我们主要写一下如何进行比较繁多的数据的提取。

使用 Tshark 批量提取数据

有时候,我们会需要从多个包中提取数据,然后再进行截取和组合,比如分析一个布尔盲注的流量文件等,这时,Tshark就派上了它的用场。

Tshark 是 Wireshark 的命令行版,可以高效快捷地提取数据,从而省去了繁杂的脚本编写。

tshark.exe -r 123.pacp -T fields -e frame.time_relative -e ip.src -e ip.dst -e ip.proto -e frame.len -E header=y -E separator=, > out123.csv

-r 123.pcap	读取要分析的报文记录文件(pcap)
-T fields	输出格式,选 fields 按字段,还有其他选项,比如json等其他格式,必须结合-E和-e一起使用
-e 取出某个字段(提取出的csv文件将以此作为字段名,如 -e ip.src (发送地址)-e ip.dst(目标地址) -e ip.proto -e frame.len)
-Y 筛选过滤报文,与wireshark的过滤器基本一致,例:-Y 'http.host == "web-server1"'
-E header=y	输出是否有表头,y表示有表头,n表示没有表头
-E separator=,	以逗号作为分隔符

光看不做,可能大家看不大懂,那就找个例子给大家演示一下:

在这里插入图片描述

我们的目的,是在这个流量文件中,提取出如图所示的json格式的用户数据。那我们首先要明确两个问题:1. 如何筛选出需要提取出数据的包?2. 应该提取每个包中的哪个部分?

筛选

确定筛选的范围,我们可以使用Wireshark的过滤器可视化地确定范围。对于这个题目,我们知道要提取的是JSON,可以使用json进行过滤:

在这里插入图片描述

提取

接下来就是确定提取包里的哪些东西,这个题里我们不需要提取ip之类的东西,只需要提取出JSON就可以了。那有些同学可能就想了,能不能提取json呢,同学们可以试一下,结果我就不说了。这里,我们可以点击这块数据,就可以看到最下方显示了这块数据的成分:tcp.segment_data,我们就可以提取每个含有json包中的tcp.segment_data

在这里插入图片描述

构造命令

根据上文,我们可以构造出如下命令:

tshark -r data.pcapng -T fields -e tcp.segment_data -Y 'json' -E header=n -E separator=, > out123.csv

# 其中:
# -r data.pcapng:从data.pcapng中提取
# -T fields:按字段提取
# -e tcp.segment_data:提取tcp.segment_data
# -Y 'json':筛选‘json’
# -E header=n -E separator=,:不要表头,以逗号为分隔符

在Kali中运行这段命令,即可得到out123.csv,不过打开来看,里面是一串十六进制字符串,我们只需要用Cyberchef打开文件,将其转换为字符串即可得到JSON数据:

在这里插入图片描述

使用 Wireshark 提取数据

使用Wireshark也可以提取上题的JSON数据,但是比较复杂,所以我个人还是推荐用Tshark。

  1. 筛选

    跟上面一样,我们使用使用json进行过滤。

  2. 新建列

    我们可以看到,Wireshark自带的几个列中是没有segment_data的,我们首先要右键表头,点击“列首选项”。

    在这里插入图片描述

    然后点击下面的加号,新建一个列,名字无所谓,类型选 Custom,"Fields"就写你要提取的部分,这里我们要提取的是tcp.segment_data,打完以后点击确定。

    在这里插入图片描述

    可以看到在Info的右边就多出来了一列。

  3. 点击顶部菜单-文件-导出分组解析结果,你想导出什么格式就选什么格式,分组范围选择“已显示”-“所有分组”,点击保存,即可获得与Tshark导出的类似的csv文件,但是这个文件多了几列(No、Time等,就是你默认显示的那些列),并且有表头。

    在这里插入图片描述

后面流程与Tshark相差不多,在此不再赘述。


本期就先写到这里,主要内容为如何使用Tshark和Wireshark实现流量文件中复杂数据的提取,下一期可能写写USB协议流量包的分析。

参考资料

[1] CTF-WIKI :https://ctf-wiki.org/misc/traffic/data/

[2] wireshark.org :https://www.wireshark.org/docs/wsug_html_chunked/ChIOExportSection.html

以上内容仅供参考,如有错漏,也很正常。


作者:CHTXRT

出处:https://blog.csdn.net/CHTXRT

本文使用「CC BY-ND 4.0」创作共享协议,转载请在文章明显位置注明作者及出处。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2102614.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

千云物流 -低代码平台MySQL备份数据

windows备份 全量备份 创建备份目录 需要在安装数据库的服务器上创建备份目录,所有如果要做备份至少需要两倍的硬盘空间, mkdir D:\mysql_backup\full_backup准备备份脚本 创建一个windows批处理文件(例如 full_backup.bat),用来执行全量备份并使用 robocopy 将备份文件…

HTTP 一、基础知识

一、概述 1、概述 HTTP(Hyper Text Transfer Protocol): 全称超文本传输协议,是用于从万维网(WWW:World Wide Web )服务器传输超文本到本地浏览器的传送协议。HTTP 是一种应用层协议,是基于 …

VUE3 使用 <transition> 实现组件切换的过渡效果

由于我想在项目中实现路由组件切换时的平滑过渡效果&#xff0c;以避免页面加载时的突兀感&#xff0c;大致效果如下&#xff1a; 上面的代码是使用的若依的代码&#xff0c;代码具体如下所示&#xff1a; <section class"app-main"><transition name&quo…

HarmonyOS开发移动应用:调用百度翻译开放平台的App Id和密钥

介绍 通过http请求和HarmonyOS自带的加密框架&#xff0c;可以为移动应用实现调用百度翻译API的功能。 开发环境要求 • DevEco Studio版本&#xff1a;DevEco Studio 3.1 Release • HarmonyOS SDK版本&#xff1a;API version 9 工程要求 • API9 • Stage模型 正文 ▍代码…

QT+OSG+osg-earth显示一个球

目录 1、环境配置 2、在QT Creator导入相关的库 3、代码部分 4、运行过程中的问题 5、相关参考 重要衔接&#xff1a;QTOSG显示一个三维模型-CSDN博客 1、环境配置 系统&#xff1a;windows10系统 QT:版本5.15.2 编译器&#xff1a;MSVC2019_64bit 编辑器…

Conda在线/离线迁移虚拟环境

conda简单使用 1.创建环境&#xff1a; conda create -n myenv python3.82.激活环境 conda activate myenv3.退出环境 conda deactivate4.安装包 pip install xxx5.列出所有环境 conda env list conda info --envs6.删除环境 conda remove -n myenv --all离线迁移conda …

GD32F103单片机-概述和工程建立

GD32F103单片机-概述和工程建立 一、GD32F103单片机介绍1.1 GD32F103C8T6引脚1.2 GD32F103C8T6系统架构和启动配置1.3 GD32F103C8T6时钟树 二、GD32F103工程建立 一、GD32F103单片机介绍 GD32F103系列由是由国内公司兆易创新生产的基于Arm Cortex-M3处理器的单片机位数&#x…

陪诊志愿服务正在开展,喜鹊医疗打造国内首家陪诊聚合平台

2024年8月&#xff0c;为了培养一支专业、合格的陪诊志愿服务队伍&#xff0c;为志愿者提供就业帮扶&#xff0c;也满足社会日益增长的健康需求。由喜鹊医疗捐赠专项资金&#xff0c;中国民族卫生协会联合中国志愿基金会共同开展“健康中国行&#xff0c;陪诊惠民工程——陪诊志…

django学习入门系列之第十点《django中数据库操作--创建与删除表》

文章目录 django创建与删除表开始创建表创建指令新增表删除表删除列新增列修改报错提示语言总结 往期回顾 django创建与删除表 删除表 创建表 修改表 操作目录 开始创建表 class text_into(models.Model):name models.CharField(max_length32)password models.CharField…

二手手机回收小程序搭建,小程序功能特点

随着社会生活水平的提高&#xff0c;对手机的更新换代的速度也在逐渐加快&#xff0c;出现了大量的闲置手机&#xff0c;而这也给手机回收市场带来了巨大的发展空间&#xff01; 目前&#xff0c;手机回收市场进入到了发展快速期&#xff0c;吸引了越来越多的企业加入大市场中…

java重点学习-spring

三 spring 3.1 Spring框架中的单例bean是线程安全的吗? 不是线程安全的 Spring框架中有一个Scope注解&#xff0c;默认的值就是singleton&#xff0c;单例的。 因为一般在spring的bean的中都是注入无状态的对象&#xff0c;没有线程安全问题&#xff0c;如果在bean中定义了…

基于纠错码的哈希函数构造方案

一、前言 随着大数据时代的到来&#xff0c;交通数据量急剧增加&#xff0c;由此带来的交通安全问题日益凸显。传统的驾驶人信用管理系统在数据存储和管理上存在着诸多不足之处&#xff0c;例如中心化存储方案无法有效地进行信用存证及数据溯源。区块链技术以其去中心化和不可…

移动硬盘无法访问怎么修复?

移动硬盘是一种方便的存储设备&#xff0c;但有时可能会遇到无法访问的问题。这不仅影响工作效率&#xff0c;还可能导致数据丢失。本文将详细介绍在Windows系统中移动硬盘无法访问怎么修复&#xff0c;帮助您恢复数据和硬盘功能。 移动硬盘无法访问的常见原因 硬盘故障&#…

1998-2023年上市公司金融/信贷/资本资源错配程度数据(含原始数据+计算代码+结果)

1998-2023年上市公司金融/信贷/资本资源错配程度数据&#xff08;含原始数据计算代码结果&#xff09; 1、时间&#xff1a;1998-2023年 2、来源&#xff1a;上市公司年报 3、指标&#xff1a;证券代码、year、应付账款、负债合计、利息支出、行业代码、是否ST或PT、上市日期…

Scott Brinker:Martech中的AI会让买家体验更好还是更糟?这取决于…….

Martech中的AI会让买家体验更好还是更糟&#xff1f; 你怎么知道自己正处于炒作周期的顶峰&#xff1f;当手段大于目的。 Martech专业人士和营销运营领导者正被推动将人工智能应用于营销——将其用于任何事情&#xff01;——相信人工智能的自动化和加速&#xff0c;尤其是生…

通过EasyExcel设置自定义表头及设置特定单元格样式、颜色

前言 在项目开发中&#xff0c;我们会遇到各种文件导出的开发场景&#xff0c;但是这种情况并都不常用&#xff0c;于是本人将自己工作中所用的代码封装成工具类&#xff0c;旨在记录工具类使用方法和技术分享。 实战代码 导出效果&#xff1a; 1、导入依赖 <dependency&g…

开发指南058-JPA多数据源

一般情况下&#xff0c;一个微服务只链接一个数据库&#xff0c;但是不排除有些情况下需要链多个库。链多个库比较复杂&#xff0c;介绍如下&#xff1a; 1、nocas中要配置多数据源 白框内为正常的单数据库情况。下面增加标识&#xff08;可以任意起&#xff0c;这里为eva)&…

Maven入门:自动化构建工具的基本概念与配置

一、什么是Maven 目前无论使用IDEA还是Eclipse等其他IDE&#xff0c;使用里面 ANT 工具帮助我们进行编译&#xff0c;打包运行等工作。Apache基于ANT进行了升级&#xff0c;研发出了全新的自动化构建工具Maven。 Maven使用项目对象模型&#xff08;POM-Project Object Model&…

ARM基础---编程模型---ARM汇编

一、编程模型 1.1.数据和指令集 1.数据 ARM 采用的是32位架构。 ARM 约定:Byte &#xff1a; 8 bits Halfword &#xff1a; 16 bits (2 byte)Word : 32 bits (4 byte)Doubleword 64-bits&#xff08;8byte&#xff09;&#xff08;Cortex-A处理器&#xff09; 2.指令 ARM…

红日靶场vulnstack (三)

环境搭建 直接把靶机下载下来后&#xff0c;配置环境如下&#xff0c;直接Centsos配置多一张网卡NAT模式就行。 //只有这两台主机IP和图片不同&#xff0c;其它都是一样的&#xff0c;因为图片是拿别人的 kali&#xff1a;192.168.145.171 Centos&#xff1a;192.168.145.130…