从0开始学杂项 第八期:流量分析(2) 数据提取

2024-09-04 09:12
文章标签 分析 数据 提取 流量 杂项 第八期

本文主要是介绍从0开始学杂项 第八期:流量分析(2) 数据提取,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

Misc 学习(八) - 流量分析:数据提取

这一期,我们主要写一下如何进行比较繁多的数据的提取。

使用 Tshark 批量提取数据

有时候,我们会需要从多个包中提取数据,然后再进行截取和组合,比如分析一个布尔盲注的流量文件等,这时,Tshark就派上了它的用场。

Tshark 是 Wireshark 的命令行版,可以高效快捷地提取数据,从而省去了繁杂的脚本编写。

tshark.exe -r 123.pacp -T fields -e frame.time_relative -e ip.src -e ip.dst -e ip.proto -e frame.len -E header=y -E separator=, > out123.csv-r 123.pcap	读取要分析的报文记录文件(pcap)
-T fields	输出格式,选 fields 按字段,还有其他选项,比如json等其他格式,必须结合-E和-e一起使用
-e 取出某个字段(提取出的csv文件将以此作为字段名,如 -e ip.src (发送地址)-e ip.dst(目标地址) -e ip.proto -e frame.len)
-Y 筛选过滤报文,与wireshark的过滤器基本一致,例:-Y 'http.host == "web-server1"'
-E header=y	输出是否有表头,y表示有表头,n表示没有表头
-E separator=,	以逗号作为分隔符

光看不做,可能大家看不大懂,那就找个例子给大家演示一下:

在这里插入图片描述

我们的目的,是在这个流量文件中,提取出如图所示的json格式的用户数据。那我们首先要明确两个问题:1. 如何筛选出需要提取出数据的包?2. 应该提取每个包中的哪个部分?

筛选

确定筛选的范围,我们可以使用Wireshark的过滤器可视化地确定范围。对于这个题目,我们知道要提取的是JSON,可以使用json进行过滤:

在这里插入图片描述

提取

接下来就是确定提取包里的哪些东西,这个题里我们不需要提取ip之类的东西,只需要提取出JSON就可以了。那有些同学可能就想了,能不能提取json呢,同学们可以试一下,结果我就不说了。这里,我们可以点击这块数据,就可以看到最下方显示了这块数据的成分:tcp.segment_data,我们就可以提取每个含有json包中的tcp.segment_data

在这里插入图片描述

构造命令

根据上文,我们可以构造出如下命令:

tshark -r data.pcapng -T fields -e tcp.segment_data -Y 'json' -E header=n -E separator=, > out123.csv# 其中:
# -r data.pcapng:从data.pcapng中提取
# -T fields:按字段提取
# -e tcp.segment_data:提取tcp.segment_data
# -Y 'json':筛选‘json’
# -E header=n -E separator=,:不要表头,以逗号为分隔符

在Kali中运行这段命令,即可得到out123.csv,不过打开来看,里面是一串十六进制字符串,我们只需要用Cyberchef打开文件,将其转换为字符串即可得到JSON数据:

在这里插入图片描述

使用 Wireshark 提取数据

使用Wireshark也可以提取上题的JSON数据,但是比较复杂,所以我个人还是推荐用Tshark。

  1. 筛选

    跟上面一样,我们使用使用json进行过滤。

  2. 新建列

    我们可以看到,Wireshark自带的几个列中是没有segment_data的,我们首先要右键表头,点击“列首选项”。

    在这里插入图片描述

    然后点击下面的加号,新建一个列,名字无所谓,类型选 Custom,"Fields"就写你要提取的部分,这里我们要提取的是tcp.segment_data,打完以后点击确定。

    在这里插入图片描述

    可以看到在Info的右边就多出来了一列。

  3. 点击顶部菜单-文件-导出分组解析结果,你想导出什么格式就选什么格式,分组范围选择“已显示”-“所有分组”,点击保存,即可获得与Tshark导出的类似的csv文件,但是这个文件多了几列(No、Time等,就是你默认显示的那些列),并且有表头。

    在这里插入图片描述

后面流程与Tshark相差不多,在此不再赘述。


本期就先写到这里,主要内容为如何使用Tshark和Wireshark实现流量文件中复杂数据的提取,下一期可能写写USB协议流量包的分析。

参考资料

[1] CTF-WIKI :https://ctf-wiki.org/misc/traffic/data/

[2] wireshark.org :https://www.wireshark.org/docs/wsug_html_chunked/ChIOExportSection.html

以上内容仅供参考,如有错漏,也很正常。


作者:CHTXRT

出处:https://blog.csdn.net/CHTXRT

本文使用「CC BY-ND 4.0」创作共享协议,转载请在文章明显位置注明作者及出处。

这篇关于从0开始学杂项 第八期:流量分析(2) 数据提取的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/1135600

相关文章

kotlin中const 和val的区别及使用场景分析

kotlin中const 和val的区别及使用场景分析

《kotlin中const和val的区别及使用场景分析》在Kotlin中,const和val都是用来声明常量的,但它们的使用场景和功能有所不同,下面给大家介绍kotlin中const和val的区别,... 目录kotlin中const 和val的区别1. val:2. const:二 代码示例1 Java
阅读更多...
Python获取中国节假日数据记录入JSON文件

Python获取中国节假日数据记录入JSON文件

《Python获取中国节假日数据记录入JSON文件》项目系统内置的日历应用为了提升用户体验,特别设置了在调休日期显示“休”的UI图标功能,那么问题是这些调休数据从哪里来呢?我尝试一种更为智能的方法:P... 目录节假日数据获取存入jsON文件节假日数据读取封装完整代码项目系统内置的日历应用为了提升用户体验,
阅读更多...
Go标准库常见错误分析和解决办法

Go标准库常见错误分析和解决办法

《Go标准库常见错误分析和解决办法》Go语言的标准库为开发者提供了丰富且高效的工具,涵盖了从网络编程到文件操作等各个方面,然而,标准库虽好,使用不当却可能适得其反,正所谓工欲善其事,必先利其器,本文将... 目录1. 使用了错误的time.Duration2. time.After导致的内存泄漏3. jsO
阅读更多...
详解C#如何提取PDF文档中的图片

详解C#如何提取PDF文档中的图片

《详解C#如何提取PDF文档中的图片》提取图片可以将这些图像资源进行单独保存,方便后续在不同的项目中使用,下面我们就来看看如何使用C#通过代码从PDF文档中提取图片吧... 当 PDF 文件中包含有价值的图片,如艺术画作、设计素材、报告图表等,提取图片可以将这些图像资源进行单独保存,方便后续在不同的项目中使
阅读更多...
Java利用JSONPath操作JSON数据的技术指南

Java利用JSONPath操作JSON数据的技术指南

《Java利用JSONPath操作JSON数据的技术指南》JSONPath是一种强大的工具,用于查询和操作JSON数据,类似于SQL的语法,它为处理复杂的JSON数据结构提供了简单且高效... 目录1、简述2、什么是 jsONPath?3、Java 示例3.1 基本查询3.2 过滤查询3.3 递归搜索3.4
阅读更多...
Spring事务中@Transactional注解不生效的原因分析与解决

Spring事务中@Transactional注解不生效的原因分析与解决

《Spring事务中@Transactional注解不生效的原因分析与解决》在Spring框架中,@Transactional注解是管理数据库事务的核心方式,本文将深入分析事务自调用的底层原理,解释为... 目录1. 引言2. 事务自调用问题重现2.1 示例代码2.2 问题现象3. 为什么事务自调用会失效3
阅读更多...
MySQL大表数据的分区与分库分表的实现

MySQL大表数据的分区与分库分表的实现

《MySQL大表数据的分区与分库分表的实现》数据库的分区和分库分表是两种常用的技术方案,本文主要介绍了MySQL大表数据的分区与分库分表的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有... 目录1. mysql大表数据的分区1.1 什么是分区?1.2 分区的类型1.3 分区的优点1.4 分
阅读更多...
Mysql删除几亿条数据表中的部分数据的方法实现

Mysql删除几亿条数据表中的部分数据的方法实现

《Mysql删除几亿条数据表中的部分数据的方法实现》在MySQL中删除一个大表中的数据时,需要特别注意操作的性能和对系统的影响,本文主要介绍了Mysql删除几亿条数据表中的部分数据的方法实现,具有一定... 目录1、需求2、方案1. 使用 DELETE 语句分批删除2. 使用 INPLACE ALTER T
阅读更多...
Python Dash框架在数据可视化仪表板中的应用与实践记录

Python Dash框架在数据可视化仪表板中的应用与实践记录

《PythonDash框架在数据可视化仪表板中的应用与实践记录》Python的PlotlyDash库提供了一种简便且强大的方式来构建和展示互动式数据仪表板,本篇文章将深入探讨如何使用Dash设计一... 目录python Dash框架在数据可视化仪表板中的应用与实践1. 什么是Plotly Dash?1.1
阅读更多...
找不到Anaconda prompt终端的原因分析及解决方案

找不到Anaconda prompt终端的原因分析及解决方案

《找不到Anacondaprompt终端的原因分析及解决方案》因为anaconda还没有初始化,在安装anaconda的过程中,有一行是否要添加anaconda到菜单目录中,由于没有勾选,导致没有菜... 目录问题原因问http://www.chinasem.cn题解决安装了 Anaconda 却找不到 An
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2