【网安随笔】隐写 Burpsuit伪IP & Trid分析工具 & Wireshark抓包
2017-09-17 19:07
801 查看
[align=left]一、关于Burpsuite[/align]
[align=left]
[/align]
[align=left] 很强大的网安工具 堪称神器[/align]
[align=left] 今天笔记 Burpsuit修改referer段数据 和伪装IP[/align]
[align=left] 前期工作,使用代理IP,我使用的是火狐浏览器。如图显示,代理IP为127.0.0.1 8080端口
[/align]
[align=left]
[/align]
[align=left]
[/align]
[align=left](1) 修改referer,referer是HTTP来源地址,很多 网站通过Referer来判断访问来源,然而他的可修改性,使绕过网站检查成为可能。[/align]
[align=left]
[/align]
[align=left](2 ) 修改X-Forwarded-For 伪装IP[/align]
[align=left]
[/align]
[align=left] X-Forwarded-For是用来识别通过HTTP代理方式连接到WEB服务器的客户端最原始的HTTP请求头字段。通过修改此字段可以轻易修改访问IP.如图我们隐藏真实IP,以[/align]
[align=left]
[/align]
[align=left] 10.2.2.6的伪装IP访问。[/align]
[align=left]
[/align]
[align=left]
[/align]
[align=left]
[/align]
[align=left]
[/align]
[align=left]
[/align]
[align=left]二、Trid工具[/align]
[align=left] 这个工具可以说惊艳了,作为取证的强大工具,可以分析出这个文件的真正类型。基于二进制特征进行判断。[/align]
[align=left] 夸完了(作者快谢谢我给你宣传哈哈)继续言归正传,这个工具怎么使用。答案是使用cmd命令行。进入到要分析的文件目录下[/align]
[align=left] 比如我们要分析的文件名为 hello_forensics,那么就在命令行界面写如下命令 >trid hello_forensics,很快分析结果就出来了。[/align]
[align=left] 直接上图,85.7%的概率是.xz类型文件。(.xz是一种压缩文件,有兴趣的可以去查,这里不进行阐述)[/align]
[align=left]
[/align]
[align=left]
[/align]
[align=left]三、Wireshark抓包工具[/align]
[align=left]
[/align]
[align=left] 小鲨鱼,抓包很强大。这里先说下使用Wireshark抓FTP传输包。使用Wireshark抓包,需要很细心地分析,数据包会很多。[/align]
[align=left]抓的包,会包含很多协议包,我们需要的是FTP包,所以在Protocol栏找FTP。找到FTP包,右击菜单,点击Follow TCP Stream(查看TCP流)[/align]
[align=left]
[/align]
[align=left]
[/align]
[align=left]其中有一个hello.txt文件以及super_secret_message.png文件,这两个文件看起来比较可疑,其中hello.txt文件的大小为6字节,super_secret_message.png文件的大小为3972字节,我们可以跟踪一下这两个文件的数据。因为FTP的控制命令和文件数据传输分开在两个不同的TCP连接中,因此我们还需要找到传输数据的TCP连接。通过在Wireshark中对通信流量的分析,我们发现在包的序号为204的地方开始传送hello.txt的内容,在包的序号为312的地方开始传送super_secret_message.png的内容,如图所示:
[/align]
[align=left]
[/align]
[align=left]
[/align]
[align=left]以super_secret_message.png文件为例,我们发现序号为313的数据包的协议为FTP-DATA,选中该条记录之后,右键选择“Follow TCP Stream”,显示方式选择“Raw”,然后选择“Save As”就可以保存这个PNG文件了。到这里就成功提取出png图片了。
[/align]
[align=left]
[/align]
[align=left]
[/align]
[align=left]
[/align]
[align=left] 很强大的网安工具 堪称神器[/align]
[align=left] 今天笔记 Burpsuit修改referer段数据 和伪装IP[/align]
[align=left] 前期工作,使用代理IP,我使用的是火狐浏览器。如图显示,代理IP为127.0.0.1 8080端口
[/align]
[align=left]
[/align]
[align=left]
[/align]
[align=left](1) 修改referer,referer是HTTP来源地址,很多 网站通过Referer来判断访问来源,然而他的可修改性,使绕过网站检查成为可能。[/align]
[align=left]
[/align]
[align=left](2 ) 修改X-Forwarded-For 伪装IP[/align]
[align=left]
[/align]
[align=left] X-Forwarded-For是用来识别通过HTTP代理方式连接到WEB服务器的客户端最原始的HTTP请求头字段。通过修改此字段可以轻易修改访问IP.如图我们隐藏真实IP,以[/align]
[align=left]
[/align]
[align=left] 10.2.2.6的伪装IP访问。[/align]
[align=left]
[/align]
[align=left]
[/align]
[align=left]
[/align]
[align=left]
[/align]
[align=left]
[/align]
[align=left]二、Trid工具[/align]
[align=left] 这个工具可以说惊艳了,作为取证的强大工具,可以分析出这个文件的真正类型。基于二进制特征进行判断。[/align]
[align=left] 夸完了(作者快谢谢我给你宣传哈哈)继续言归正传,这个工具怎么使用。答案是使用cmd命令行。进入到要分析的文件目录下[/align]
[align=left] 比如我们要分析的文件名为 hello_forensics,那么就在命令行界面写如下命令 >trid hello_forensics,很快分析结果就出来了。[/align]
[align=left] 直接上图,85.7%的概率是.xz类型文件。(.xz是一种压缩文件,有兴趣的可以去查,这里不进行阐述)[/align]
[align=left]
[/align]
[align=left]
[/align]
[align=left]三、Wireshark抓包工具[/align]
[align=left]
[/align]
[align=left] 小鲨鱼,抓包很强大。这里先说下使用Wireshark抓FTP传输包。使用Wireshark抓包,需要很细心地分析,数据包会很多。[/align]
[align=left]抓的包,会包含很多协议包,我们需要的是FTP包,所以在Protocol栏找FTP。找到FTP包,右击菜单,点击Follow TCP Stream(查看TCP流)[/align]
[align=left]
[/align]
[align=left]
[/align]
[align=left]其中有一个hello.txt文件以及super_secret_message.png文件,这两个文件看起来比较可疑,其中hello.txt文件的大小为6字节,super_secret_message.png文件的大小为3972字节,我们可以跟踪一下这两个文件的数据。因为FTP的控制命令和文件数据传输分开在两个不同的TCP连接中,因此我们还需要找到传输数据的TCP连接。通过在Wireshark中对通信流量的分析,我们发现在包的序号为204的地方开始传送hello.txt的内容,在包的序号为312的地方开始传送super_secret_message.png的内容,如图所示:
[/align]
[align=left]
[/align]
[align=left]
[/align]
[align=left]以super_secret_message.png文件为例,我们发现序号为313的数据包的协议为FTP-DATA,选中该条记录之后,右键选择“Follow TCP Stream”,显示方式选择“Raw”,然后选择“Save As”就可以保存这个PNG文件了。到这里就成功提取出png图片了。
[/align]
[align=left]
[/align]
[align=left]
[/align]
相关文章推荐
- mac下最好的抓包分析工具wireshark
- TCP/IP 实践之Ubuntu 16.04下安装网络流量分析工具 Wireshark
- Wireshark - 网络抓包与分析工具
- HTTP协议版本介绍以及使用Wireshark工具针对HTTP进行抓包分析详解
- Wireshark Ethereal 1.11.2 32位+64位 稳定版(网络分析工具,抓包工具)
- 抓包工具 - Wireshark(详细介绍与TCP三次握手数据分析)
- 2011 wireshark 抓包工具 使用说明 实用过滤表达式(针对ip、协议、端口、长度和内容) 实例介绍
- wireshark/fiddler等抓包工具分析
- Wireshark抓包工具使用以及数据包分析
- Wireshark抓包分析/TCP/Http/Https及代理IP的识别
- TCPDump抓包&WireShark分析
- Wireshark 网络封包分析软件-抓包工具
- 02. 抓包及保存 ❀ 数据包分析工具 Wireshark
- 03. 抓包过滤器 ❀ 数据包分析工具 Wireshark
- 抓包及分析(wireshark&tcpdump)
- 用wireshark网络抓包工具来分析单个虚拟用户的带宽
- HTTP抓包分析工具 wireshark
- Wireshark & Ethereal包分析工具【图书节选】
- 【抓包工具】Wireshark(详细介绍与TCP三次握手数据分析)
- wireshark 抓包分析 TCPIP协议的握手