继续上次说到的比武里面,有一道关于流量分析的题,如何通过wireshark还原pcap包中的图片?
动图操作
![图片[1]-Wireshark快速还原Pcap包中的图片-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2022/05/64b8f86fe388-1024x537.gif)
图文教程
通常情况下,一般我们看到的图片都是网站上get请求获取的,因此我们在wireshark中使用http进行过滤
![图片[2]-Wireshark快速还原Pcap包中的图片-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2022/05/d2b5ca33bd97-25-1024x328.png)
![图片[3]-Wireshark快速还原Pcap包中的图片-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2022/05/d2b5ca33bd97-20-1024x272.png)
过滤后发现仅有8行内容,而且其中我们可以看到,我们通过GET请求,预览了flag.jpg这个文件
![图片[4]-Wireshark快速还原Pcap包中的图片-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2022/05/d2b5ca33bd97-21-1024x247.png)
那我们如何在wireshark中还原这个图片呢?在JPEG File上,我们右键导出分组字节流
![图片[5]-Wireshark快速还原Pcap包中的图片-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2022/05/d2b5ca33bd97-22-1024x692.png)
然后随便命名就好了,点击保存
![图片[6]-Wireshark快速还原Pcap包中的图片-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2022/05/d2b5ca33bd97-23-1024x562.png)
我们需要手动将其修改为jpg后缀的即可查看图片内容
![图片[7]-Wireshark快速还原Pcap包中的图片-渗透云记 - 专注于网络安全与技术分享](https://b.encenc.com/wp-content/uploads/2022/05/d2b5ca33bd97-24.png)
然后就能看到图片的内容了
延伸阅读
上面的操作有没有实际价值或者说实际意义呢?答案肯定是有的,假设我们在公司的网卡流量镜像口通过一些流量设备抓取pcap包,公司内的全部上网记录都将会保存下来,那么比方说每个员工在公司上网的时候下载了哪些视频、看了哪些图片也都能跟追查到,因此,还是比较有趣的,当然,我们之前还分享过通过suricata来完成上述需求的方法
© 版权声明
渗透云记的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
渗透云记拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!
本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!访问本博客请务必遵守有关互联网的相关法律、规定与规则。一旦您访问本博客,即表示您已经知晓并接受了此声明通告。详情见本站的“免责声明”如果有侵权之处请第一时间联系我们删除。敬请谅解!E-mail:admin@encenc.com
THE END
请登录后查看评论内容