抓包是指在计算机网络中通过截获、重发、编辑、转存等操作,分析网络数据包的过程。网络数据包是计算机之间进行通信时发送和接收的信息单元。通过抓包,可以查看和分析网络通信中传输的数据,以便诊断网络问题、监控网络流量或进行安全审计。
一、 burp — 抓包分析软件
1. 常用模块介绍
本文仅介绍抓包,剩余内容会在应用系统测评篇中放出,(例如利用burp暴力破解攻击,通过抓包查看前端使用了哪种算法等内容)
1.1 Proxy模块
这个版本的burp可不设置代理,我们直接点击 Open Browser
打开浏览器输入网址后,即可抓到对应的数据包
点击放包后,浏览器才能访问到对应的页面
例如我们抓取一个后台登陆的数据包,进行简单分析一下
- HTTP/1.1:表示所使用的HTTP协议版本。
② 请求头部:
- Host: 172.17.200.25:表示服务器的主机名。
- User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121.0:表示浏览器或客户端的相关信息,这里显示的是使用Firefox浏览器版本。
- Accept: application/json, text/javascript, */*; q=0.01:表示客户端能够接受的响应内容类型。
- Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2:表示客户端所支持的语言偏好。
- Accept-Encoding: gzip, deflate:表示客户端能够接受的压缩编码方式。
- Content-Type: application/x-www-form-urlencoded; charset=UTF-8:表示请求主体的数据格式为URL编码形式,字符集为UTF-8。
- X-Requested-With: XMLHttpRequest:表示该请求是由XMLHttpRequest对象发起的。
- Content-Length: 64:表示请求主体的数据长度。
- Origin: http://127.17.200.25:表示请求的来源。
- Connection: close:表示请求完成后关闭连接。
- Referer: http://172.17.200.25/?m=admin&c=index&a=login:表示请求的来源网页。
- Cookie: PHPSESSID=sm571fs1h3ngkf1dfo96bkkv45:表示客户端发送的Cookie数据,这里包含了名为PHPSESSID的会话ID。
③ 请求主体:
t0=admin&t1=admin&t2=spxc&token=1660f5b3f4493aa51e0a19fa788df146:表示具体的表单数据,以URL编码形式展示。其中t0、t1、t2和token为参数名,后面的值为具体的参数值。t0表示输入的用户名、t1表示输入的密码、t2表示输入的验证码。
总结:该POST请求的目的是向服务器提交一些表单数据。请求头部提供了一些附加信息,如请求的主机名、浏览器信息、接受的响应类型等。请求主体中包含了具体的表单数据,也就是我们输入的帐号密码。这整一个数据包就是登录过程的请求。
二、Wireshark 网络抓包分析软件
WinPCAP
作为接口,直接与网卡进行数据报文交换。
打开Wireshark后,我们第一步要做的就是选择对应的网卡,一般正常情况下,笔记本选择"WLAN",有线连接选择对应的"本地连接"。如果是与虚拟机交互的,那么就要选择对应的虚拟机网卡。
下面是一些常用的过滤条件示例:
- 显示源或目的IP地址为 192.168.1.100 的数据包:ip.addr == 192.168.1.100
- 显示所有ICMP数据包:icmp
- 显示源或目的端口号为 80 的数据包:tcp.port == 80 or udp.port == 80
- 显示源IP地址为 192.168.1.100 并且目的端口号为 80 的TCP数据包:ip.src == 192.168.1.100 and tcp.dstport == 80
通过过滤,我们很快就能找到在这个登录过程中传输了哪些数据,具体这个password的值怎么来的,可以查看 等保2.0测评深入理解 — MySQL 数据库这篇文章中,MySQL口令验证实现原理这个知识点
例如我再抓取一个查询表的数据包
原文始发于微信公众号(等保不好做啊):网络安全基础技术扫盲篇之抓包
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论