记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

如何缓解易受攻击的wireshark?

攻击wireshark每隔一段时间就会有消息称wireshark易受攻击,易受利用或者易于破解,意思就是人们有方法在pcap和pcapng文件中构造帧消息或数据包来造成wireshark崩溃并且执行恶意代码。今天我们来看看具体情况以及我们可以采取哪些措施。我几乎每天都在用wireshark,不仅是工作日,周末也在用,已经用了15年了。从技术上来讲,那会儿它还叫Ethereal(网络调试和数据包嗅探软件),有时候我以packetyzer的形式来运行,这种形式人们早已忘记,我之所以还用它是因为它在Windows平台上使用还不错,界面简洁清晰。这款软件可以实时抓取数据包中的流量并进行分析,尽管有时候显示的内容并不是完全正确,
发布时间:2018-09-28 12:20 | 阅读:80242 | 评论:0 | 标签:安全工具 技术 wireshark

利用WireShark对听音乐的过程中传送的数据包进行分析

相信现在的每一个人都在网络上听过音乐,那么,在我们听音乐的过程中,究竟发生了什么呢?下面我就利用 WireShark 给大家分析一下。  第一步。 打开wireshark,选择本地连接进行监听。之后,打开一个音乐软件,随便点击一首歌曲,然后播放这首歌曲。 第二步。等待音乐播放了十几秒之后,停止wireshark的监听,现在wireshark已经监听到许多的数据包了,如下图 现在我们只要过滤出因为听音乐而发送和接受的数据包,之后就可以进行数据包的分析了。 那么到底该如何进行数据包的过滤呢? 因为我们在听歌曲时,会加载相应的歌手的图片或者专辑的图片,所以一定会向服务器发送http请求,所以,我们首先使用的过滤规则为“http”,过滤之后,如下: 很明显,数据包少了许多,图中我划第一条黄线的数据包应该就
发布时间:2018-01-17 13:30 | 阅读:122400 | 评论:0 | 标签:工具 Wireshark 数据包

Wireshark 国家商用密码(SM2/3/4)协议分析

SM2是国家密码管理局发布的一种椭圆曲线公钥密码算法,用于数字签名、秘钥交换和公钥加密。 SM3是国家密码管理局发布一种杂凑算法,其长度值为256。 SM4算法是国家密码管理局密码行业标准。SM4算法是一个分组对称密钥算法,明文、密钥、密文都是16字节,加密和解密密钥相同。 由SM2椭圆曲线公钥密码算法,SM3密码杂凑算法,SM4加密算法共同作为国家密码的行业标准,类似于目前的RSA+SHA系列+DES/AES形成一个网络数据传输的加密套件,保证了数据在网络中传输的机密性和完整性。 修改Wireshark,加入了对SM2/3/4加密套件的识别,如下图1、2。 图1、客户端发送ClientHello,告知服务端支持哪些加密套件。 图2、服务端返回选择相应的加密套件,证书的公钥签名算法以及杂凑算法  
发布时间:2017-12-14 19:10 | 阅读:109506 | 评论:0 | 标签:Wireshark开发与使用 加密解密 协议分析 未分类 SSL协议 TLS协议 Wireshark Wireshark

局域网聊天软件攻防战

*本文原创作者:追影人,本文属FreeBuf原创奖励计划,未经许可禁止转载 0×00 前言 笔者发现不少甲方公司的办公网络依靠五花八门的局域网聊天软件进行办公通信,而这些软件中同样存在各种安全风险。本文就带大家利用协议分析技术来还原一款局域网聊天软件的通信协议,并对其进行简易攻击。 0×01 协议分析 网络协议是指计算机网络中通信双方必须共同遵守的一组约定,这些约定包括数据传输格式和顺序等内容,它最终体现为在网络上传输的数据包的格式,只有双方遵守相关约定才能确保正常通信交流。 人类社会使用自然语言进行沟通交流,计算机则使用网络协议来进行通信,只有使用同一语言或协议才能进行有效沟通交流。两者有诸多相似性,包含语法、语义、时序三大要素。 1、语法:数据或命令控制信息在传输时的形态结构
发布时间:2017-05-04 16:05 | 阅读:94234 | 评论:0 | 标签:网络安全 Wireshark 聊天软件

Wireshark使用小技巧

阅读: 78Wireshark它是一款功能强大的网络抓包分析工具,大家对他并不陌生,可能工作中每天都会用,用它来排查故障、分析攻击类型等,可以更快理解和发现问题,下面来让绿盟君介绍一下wireshark的几个使用小技巧。文章目录1、TCP流绘制2、包的拼接与拆解3、相对时间显示4、协议统计分层信息5、网络会话列表6、网络端点列表7、ip地址统计列表8、summary统计信息9、应用层数据包分析1、TCP流绘制为了便于理解在整个TCP会话期间,TCP 的Seq号和Ack号的工作过程,可使用Wireshark的绘制流功能,选择菜单栏中的 Statistics ->Flow Graph…->TCP flow ,会自动创建一个TCP流的图形。每行代表一个数据包,左边列显示时间,中间列显示包的方向、TCP端口
发布时间:2016-08-09 04:55 | 阅读:197979 | 评论:0 | 标签:技术分享 ip地址统计列表 wireshark Wireshark 使用小技巧 Wireshark 小技巧 wiresh

VSRC二进制漏洞挖掘课堂 | 第一篇

VSRC二进制漏洞挖掘课堂 第一篇 漏洞挖掘中的流程     这是漏洞挖掘的第一篇,整个课堂系列主要分享的是二进制程序的漏洞挖掘技术。 先推荐两本书,基础部分都在里面《深入理解计算机系统》和《软件调试》。这两本书虽然和漏洞完全无关,但这是基础中的基础,读通了很多东西都会理解了。 那这篇我讲点什么呢?我分享下漏洞挖掘中的流程。   0X01 二进制漏洞挖掘和WEB漏洞挖掘的区别     通常形式WEB漏洞挖掘主要分析的是对数据处理的过程,而二进制漏洞挖掘也是分析的是数据处理过程; WEB漏洞挖掘主要面对的对象是脚本语言和数据库系统,相对于二进制的漏洞挖掘则面对的是汇编等编译型语言; WEB漏洞挖掘和二进制程序的漏洞挖掘有黑盒,白盒和灰盒3种挖掘方式;两种漏洞挖掘都需要考虑系统、网络等环境因素
发布时间:2016-08-08 18:25 | 阅读:232430 | 评论:0 | 标签:逆向破解 api-monitor 监控程序 ExeinfoPE Fuzzing IDA 静态分析利器 Ollydbg 动

Wireshark实战课程免费83天,拿走不谢!

  Kali系统中有很多神器这次就给大家聊一下Wireshark 我们在抓包时候很多时候并不知道要分析目标ip的地址,所以我们通常会把网络全部流量都抓下来,几秒就会有大量的数据,难道我们要一一去看嘛?No!我们只要学习了wireshark就可以在较短的时间里轻松的将一个几百G的数据包筛选出较少信息。使用tcpdump的读取筛选器,将目标IP的流量从抓包文件中过滤出来,然后写入到一个新的cap文件里;判断筛选后的文件大小,如果文件大小为24字节,则说明其中没有包含任何数据包,于是将其删除,将大于24字节的抓包文件移动到一个新的目录中保存;将以上过程加入一个循环,逐个筛选原始抓包文件,直到所有文件都被处理完毕;将筛选后的所有转包文件合并成一个文件,其中将包含目标IP这一天的完整网络通信。 想 Get 
发布时间:2016-06-03 18:55 | 阅读:99111 | 评论:0 | 标签:活动集中营 Kali Linux Wireshark 安全牛课堂

WinPcap开发(一):零基础入门

*原创作者:追影人0×00 前言网络编程在网络安全方面具有举足轻重的作用,如何快捷高效的监听、分析、构造网络流量,成为很多安全从业者需要解决的重点问题。而winpcap这一免费开源项目恰好可以为win32应用程序提供访问网络底层的能力,所以其成为了相关网络编程的首选开发工具。0×01 winpcap是什么?winpcap(windows packet capture)是windows平台下一个免费的网络访问系统,可用于windows系统下的网络编程。著名的wireshark便是基于winpcap开发的,大家在安装wireshark中可以看到winpcap驱动程序的安装过程。有关winpcap的介绍网络上很多,百科里面介绍的也很详细,我就不再copy了。需要注意的一点是,winpcap并不是
发布时间:2016-05-05 18:45 | 阅读:109054 | 评论:0 | 标签:系统安全 网络安全 winpcap Wireshark 网络数据包捕获

中国菜刀仿冒官网三百万箱子爆菊记

0x00 前言 常言道,出来混总是要还的,看了360播报的《网络小黑揭秘系列之黑产江湖黑吃黑 ——中国菜刀的隐形把手》一文,表示很震惊,网络竟然是如此的不安全,无聊之下花了一周时间来调查360所说的“从公开的whois信息显示,该域名注册邮箱为root90sec@gmail.com,同时,该邮箱同时还有注册“maicaidao.me”这个域名。安全圈的朋友们一看这个邮箱,应该并不陌生,没错这个邮箱的主人正是某sec组织的成员之一,接下来的我们就不多说了,有兴趣的可以自己去挖挖。” 估计很多朋友都很好奇是怎么拿下来的,这里大概介绍一下吧,希望能促进中国网络安全的发展,为行业贡献自己的一份力量。 0x01 信息收集 首先抓包,为了避免程序会有各种检测,流量镜像到了wireshark,写了个过滤只看HTTP协议,找到
发布时间:2016-03-07 17:50 | 阅读:175319 | 评论:0 | 标签:安全报告 360天眼 9128.cc maicaidao.co maicaidao.me root90sec@gmail

使用Wireshark分析工控协议

在工控系统中通信协议存在众多标准,也存在众多私有协议,如果你有过使用组态软件的经历,你便会发现,在第一步连接设备时除连接设备的方式有以太网/串行等方式外,各家基本上都存在自己的私有通信协议。 上图为,某SCADA软件驱动配置界面 大家都知道普遍的工控协议在传输的过程不加密、协议上无认证,往往可以通过协议分析,并形成一些测试用例针对特定运行环境下支持该协议的设备达到异常运行的效果。如之前提到过的强制操作物理输出(使用FINS协议攻击欧姆龙(Omron)PLC的物理(I/O)输出)、程序的上传下载、重置设备状态等。而这个过程中除官方提供的一些协议文档外,像wireshark也支持了大量的工控协议,可以很方便的了解协议中的一些字段的功能、命令等。 私有协议分类 在众多公开或私有协议中可分为如下几类: 标准协议:国际
发布时间:2015-11-26 20:55 | 阅读:444501 | 评论:0 | 标签:协议分析 技术分享 Modbus PLC协议 Wireshark

国家某局linux主机应急支援记录

Part0,概述 通过对进程、登录日志和历史命令分析,确认溯源一起入侵事件,对入侵者的恶意进程成功查杀,发现入侵者的ftp服务器,上面好多提权工具,朋友们拿去分(wan)析(shua)吧! Part1,事件应急 10月21日,国家某局的网络出现拥塞现象,10月23日上午10点到客户现场排查问题,通过流量检测设备发现某刚装完系统的主机数据量异常,该主机仅仅装了suselinux,并未部署应用,看来极有可能被黑之后当肉鸡用了。 管理员告知鉴别信息为root/111111,直连服务器后用ssh远程登录了该服务器,查看登录信息。由于服务器未部署应用,就重装系统了,但是如果真的部署有应用,需要能查杀恶意进程才可以,所以就有了PART2。 (1)cat /var/log/messeges|grep root 10月21日凌
发布时间:2015-10-27 21:20 | 阅读:101272 | 评论:0 | 标签:系统安全 changddcn Linux系统被入侵后的应急响应流程 scanssh suselinux SYN_SEND

在线数据包分析实现 – Online Pcap Analyzer

感谢Le4f投递 厌倦了Wireshark看数据包?想寻求更酷更直观的在线数据包分析实现姿势? 也许Pcap-Analyzer是你的不错选择 0x00 前言 新年新文章还没出炉,先分享个刚写的工具:Pcap-Analyzer,在线轻量Pcap流量文件分析工具,有需求的朋友可以参考修改. 项目地址: https://github.com/le4f/pcap-analyzer 以下几个参考用途: 某些数据包分析取证,自然比不上Wireshark,但部分功能较WireShark更直观 可以考虑加入无线数据包解密分析模块 加入用户管理模块,移动终端可上传分析抓取的数据包(MITM等) 0x01 特点 轻量,易读.但不适合大数据包分析.(可以基于此改进) 上传,存储,下载基本功能 数据包分析 数据包列表 数据包细
发布时间:2015-01-12 21:35 | 阅读:117360 | 评论:0 | 标签:工具 Chartkick Cloud-Pcap Flask ForensicPcap Highcharts le4f p

用Wireshark简单分析HTTPS传输过程-抓包过程

上次写的文章 理解SSL(https)中的对称加密与非对称加密 ,一些小伙伴们说要如果有抓包过程,也就是有图片了解下过程比较好,所以有了这篇文章,写得不好的地方希望大家能提出建议呀,以能改正。实验环境:操作系统:Kali linux 1.06 64位软件:Wireshark 实验目的:查看https的协议传输过程。一、打开软件,二、打开后,选择菜单下的edit的Prefenrces,选择protocols下的ssl(因为我们要观测的是https的传输过程),点击开始:三、开始监听https传输数据:因为我在放歌,所以看见数据传输很快哦,眨眼之间数据就跳走了:回到正题,进入https站点,开始实践:四、查看协议传输过程,(PS:Https=http+ssl)  1、 看见TLSv1了么?
发布时间:2014-07-09 10:15 | 阅读:187218 | 评论:0 | 标签:系统安全 Wireshark

BT5 + wireshark玩wifi捕获和中间人攻击

前言:先说明一下,这个文章不是我写的,是一个老外(Deepanshu Kapoor)安全专家写的,我一开始就是看着玩,但整个看完被老外那个细心和耐心给打动了,整个过程其实很简单,但是老外分了好多步骤来讲解,每个步骤都有配图和说明,甚至命令的参数都要解释一下。不得不佩服老外分享和奉献的精神,所以我也学着奉献一下,把它翻译成中文给大家看看吧,我尽量保持原汁原味,有不恰当的地方要原谅我,毕竟我不是专业翻译。(对原文PDF文档感兴趣的留邮箱,我发给你)BT5 + wireshark玩wifi数据包捕获和session注入(中间人攻击)介绍:主要思路是通过伪造相同名称的wifi接入点,配合发送ARP数据包,攻击连入伪造wifi的用户。一个与原有wifi相同名称的伪造接入点一旦
发布时间:2014-05-12 12:20 | 阅读:82689 | 评论:0 | 标签:无线安全 backtrack Wireshark

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云