一、wireshark語法

1、wireshark過濾語法
（1）過濾IP地址

ip.src==x.x..x.x 過濾源IP地址 
ip.dst==x.x.x.x 過濾目的IP 
ip.addr==x.x.x.x 過濾某個IP 

（2）過濾端口號

tcp.port==80tcp.srcport==80 顯示TCP的源端口80tcp.dstport==80 顯示TCP的目的端口80 

（3）過濾協(xié)議

直接輸入?yún)f(xié)議名稱 tcp/http/dns 

（4）包長度過濾

udp.length==26tcp.len >=7 

（5）http模式的過濾（極其重要，尤其是http contains "關(guān)鍵字"）

http.request.method=="GET"http.request.method=="POST" 篩選請求方式http.request.uri=="圖片的路徑"http cantains "GET"http contains "HTTP/1."http contains "flag"http contains "key"#看一下http協(xié)議流量包中有沒有flag字段tcp contains "flag" 

2、wireshark協(xié)議分級

協(xié)議分析的目的就是為了對整個流量包有一個大致的分析！

統(tǒng)計 ---> 協(xié)議分級

3、wireshark 流匯聚

（1）用于追蹤tcp或者h(yuǎn)ttp的流量

追蹤流中直接尋找是否有flag

wireshark數(shù)據(jù)提取
(1)ctf題目當(dāng)作可能會將flag等信息藏在一些文件當(dāng)作；比如藏在圖片；壓縮包；文本文檔等；需要我們對流量包進行數(shù)據(jù)提取；將提取的數(shù)據(jù)進一步處理！

文件 -----> 導(dǎo)出對象 ------> HTTP 

eg:有一個ncc.pcap流量包；打開首先在協(xié)議分級當(dāng)作看一下流量包的比重；輸入http contains "ncc";發(fā)現(xiàn)了一張.png照片
?

提取！

進一步對照片進行處理拿到flag!

(2)使用networkminer工具分析流量包直接提取出照片！

(3)手動提取！

二、流匯聚型

1、考點：
flag等信息直接藏在流量包當(dāng)中；難度稍微提升提點的就是通過分析流量包看流量包中是否有其他文件；比如jpg;zip；png等等；需要進行數(shù)據(jù)提取進行下一步分析；這類題目往往和misc方向有關(guān)！

http contains "PSOT"http contains "flag"tcp contains "flag"http contains "zip"http contains "jpg"http contains "png"//根據(jù)篩選出來的流量包進行分析；看看是否有敏感數(shù)據(jù)；比如FFD8FF PK等等常見的文件開頭；然后提取數(shù)據(jù) 

2、例題：
1、流匯聚（直接流匯聚就能拿到flag)

2、提取數(shù)據(jù)的
(1)藏在壓縮包中的（PK為壓縮包文件的頭部標(biāo)識）
原始數(shù)據(jù)顯示；然后保存16進制數(shù)據(jù)；010editor導(dǎo)入16進制數(shù)據(jù)；另存為即可

(2)藏在圖片當(dāng)中的

三、TLS流量

1、考點：
題目一般會提示讓你導(dǎo)入 key;去解鎖加密的流量包（flag一般藏在加密的流量包當(dāng)中）；一般key藏在了給出的流量包中；使用tcp contains “KEY” ftp contains "key"篩選數(shù)據(jù)包；然后具體分析數(shù)據(jù)包找到KEY；導(dǎo)入KEY就可看到隱藏的流量包（http數(shù)據(jù)包如果沒有導(dǎo)入KEY;wireshark是看不到的）；導(dǎo)入KEY的方法

編輯——>首選項——>協(xié)議——>TLS——>exit——>導(dǎo)入key——>應(yīng)用 

2、例題：

• 例題1：
  （1）題目給出提示信息讓我們區(qū)尋找KEY；常見的KEY藏在TCP流量包中；使用tcp contains “key”過濾數(shù)據(jù)包

  

  
  追蹤流分析數(shù)據(jù)包；發(fā)現(xiàn)了一段base64編碼的內(nèi)容；根據(jù)經(jīng)驗判斷應(yīng)該是base64編碼轉(zhuǎn)圖片

  

  
  base64在線解碼工具：Base64解碼 Base64編碼 UTF8 GB2312 UTF16 GBK 二進制 十六進制 解密 - The X 在線工具
  解碼之后得到一張圖片；圖片的內(nèi)容為KEY

  

  
  微信識別內(nèi)容后保存為txt文件（提示文件給出了key的格式）

  

  
  導(dǎo)入KEY出現(xiàn)了兩個http流量包；追蹤流發(fā)現(xiàn)了flag!（沒有導(dǎo)入key之前沒有發(fā)現(xiàn)flag)

  

• 例題2

題目提示是TSL加密；那就是要找到key導(dǎo)入密鑰獲取加密的流量包；輸入http contains "key"篩選流量包；然后分析流量包；發(fā)現(xiàn)一個流量包很奇怪；追蹤http流量發(fā)現(xiàn)了sslkey.log；另存到桌面；然后導(dǎo)入key；發(fā)現(xiàn)http流量包多了幾個；分析http流量包拿到flag!

四、大流量

1、黑客IP地址

思路：黑客攻擊會產(chǎn)生大量的流量；根據(jù)流量的大小、包的數(shù)量來判定是否為異常流量以及攻擊者的IP。可以用統(tǒng)計工具分析一下

統(tǒng)計-會話。發(fā)現(xiàn)183.129.152.140與內(nèi)網(wǎng)IP建立會話的Packets較多
?

統(tǒng)計-端點。同樣發(fā)現(xiàn)183.129.152.140的包數(shù)最多。
?

統(tǒng)計-IPv4 Statistics-ALL Address。統(tǒng)計下IP，183.129.152.140的數(shù)量最多。
?

所以，183.129.152.140應(yīng)該就是黑客的IP。分析其它數(shù)據(jù)包也印證了這個結(jié)果
2、黑客郵箱
發(fā)送郵件的協(xié)議一般為SMTP；首先嘗試第一眼看到的xsser@live.cn，發(fā)現(xiàn)flag正確，所以后面看見的郵箱也就不需要試了。

3、后門名稱

我們得到了黑客的攻擊IP183.129.152.140，首先過濾一下這個IP

ip.addr == 183.129.152.140 

后名文件一般是php；所以追蹤流找到了后門文件為flag{admin.bak.php}

五、USB流量

1、鍵盤流量
（1）USB協(xié)議鍵盤數(shù)據(jù)部分，會出現(xiàn)在 Leftover Capture Data 或者 HID Data 中;長度為16位
?

提取數(shù)據(jù)：右鍵HID Data ；作為過濾應(yīng)用；選中；然后復(fù)制
?

使用命令提取數(shù)據(jù)

//提取鍵盤流量；其中usbhid.data就是復(fù)制的字段內(nèi)容 
tshark -r 鍵盤.pcapng -T fields -e usbhid.data |sed '/^\s*$/d' >flag.txt 
//使用腳本加上：；注意鍵盤流量是16位；鼠標(biāo)是8位 
python .\冒號.py 
//提取鍵盤數(shù)據(jù) 
python .\usb_keyborad.py 

2、鼠標(biāo)流量
（1）USB協(xié)議鼠標(biāo)數(shù)據(jù)部分，會出現(xiàn)在 Leftover Capture Data 或者 HID Data 中;長度為8位
（2）例題：打開流量包；根據(jù)Leftover Capture Data內(nèi)容得出為鼠標(biāo)流量；獲得字段值為usb.capdata

//提取鼠標(biāo)流量；其中usb.capdata為數(shù)據(jù)的字段tshark -r 鼠標(biāo).pcap -T fields -e usb.capdata |sed '/^\s*$/d' >flag.txt//加上：；注意鍵盤流量是8位;注意修改腳本python .\usb_mouse.pypython '.\坐標(biāo)繪制圖形 - 副本.py 

六、webshell流量

例題
打開流量包；首先http contains "flag"；發(fā)現(xiàn)了結(jié)果符合條件的流量包（發(fā)現(xiàn)了菜刀webshell工具的流量；解碼發(fā)現(xiàn)讓我下載6666.jpj這個圖片；追蹤http流量包；一個一個查看）
?

查看完所有的http流量包之后；發(fā)現(xiàn)了 1.php 6666.jpg flag.txt hello.zip 幾個文件；嘗試提取出來；根據(jù)流量包；只找到6666.jpg和zip的數(shù)據(jù)內(nèi)容
（1）提取666.jpg（JPG的頭部數(shù)據(jù)為FFD8FF）
顯示原始數(shù)據(jù)；保存16進制數(shù)據(jù)到txt文檔中；然后010editor導(dǎo)入16進制數(shù)據(jù)；另存為1.jpg
?

?

我以為是flag；發(fā)現(xiàn)不是；那可能是zip的密碼
（2）提取zip
分析數(shù)據(jù)包發(fā)現(xiàn)了zip的頭部內(nèi)容PK;提取壓縮包（和提取圖片的步驟一樣）
?

然后發(fā)現(xiàn)解壓需要密碼；使用照片中的密碼解密拿到flag！

七、wifi流量

例題
打開流量包出現(xiàn)現(xiàn)wireless LAN協(xié)議和802.11無線協(xié)議和Tp-Link,；判定為wifi流量包；使用airrcrack-ng工具進行破解

//獲得BSSID地址BC:F6:85:9E:4E:A3aircrack-ng xxx.cap 

//生成字典解密aircrack-ng -a2 -b BC:F6:85:9E:4E:A3 -w pass.txt wifi.cap 

八、思路總結(jié)

首先打開流量包；

分別看一下不同協(xié)議的info;看看有沒有什么特別奇怪或者很長的解釋；

一般flag就在里面（有可能是base64編碼的；注意二次編碼）；

然后就是利用過濾語法看看有沒有什么明顯的流量包；

進一步分析；看看有沒有什么壓縮包，圖片,文件等等的；

提取出來看看是否有flag等信息；

還有注意幾種特別的流量包；