本篇文章旨在为网络安全渗透测试行业OSCP考证教学。通过阅读本文,读者将能够对tcpdump日志分析关键信息过滤有一定了解
1、下载练习分析文件
wget https://www.offensive-security.com/pwk-online/password_cracking_filtered.pcap
2、查看分析文件所有内容
sudo tcpdump -r password_cracking_filtered.pcap
#-r #读取抓包文件
3、过滤分析文件的过滤IP流量
sudo tcpdump -n -r password_cracking_filtered.pcap | awk -F " " '{print $5}' | sort | uniq -c | head
#-F "" 以空格为分隔符号,{print $5}显示第五列的内容
#第一列是时间,然后ip,源地址,第五列就是目标地址,利用上边的命令筛选出目标地址
#-n 跳过dns名称查找
#sort:对输入的数据进行排序,默认按字典顺序排列。
#uniq:用于报告或省略重复的行。 -c 统计每个唯一行出现的次数
4、筛选源IP为172.16.40.10的数据包
sudo tcpdump -n src host 172.16.40.10 -r password_cracking_filtered.pcap
#-n src 源地址
5、筛选目的IP为172.16.40.10的数据包
sudo tcpdump -n dst host 172.16.40.10 -r password_cracking_filtered.pcap
-n dst 目的地址
6、筛选端口为81的数据包
sudo tcpdump -n port 81 -r password_cracking_filtered.pcap
7、显示流量数据包的数据
sudo tcpdump -nX -r password_cracking_filtered.pcap
#-n禁止将地址和端口号解析为名称。这样可以加快输出速度,并避免DNS解析带来的延迟。
#x以十六进制和ASCII格式同时显示数据包的内容。这对于深入分析数据包中的具体内容非常有用。
#-r 读取
#第一行:时间戳、协议类型、源IP和端口、目标IP和端口、标志位等信息。
#后续行:数据包内容的十六进制和ASCII表示。
8、转换16进制查看数据包
sudo tcpdump -A -n "tcp[13]=24" -r password_cracking_filtered.pcap
#这条命令是以超级用户权限(sudo)运行 tcpdump 工具
#让其以 ASCII 码形式(-A)显示数据包内容、不进行域名解析(-n)
#并筛选出 TCP 标志位中特定值(十六进制 24,对应特定 TCP 状态)的数据包
#对 password_cracking_filtered.pcap 这个已捕获的网络数据包文件进行分析查看.
9、过滤Authorization身份验证字段的信息
sudo tcpdump -A -n "tcp[13]=24" -r password_cracking_filtered.pcap | grep ^Authorization | sort -u
10、对身份验证字段的密文进行base64解码
sudo tcpdump -A -n "tcp[13]=24" -r password_cracking_filtered.pcap | grep ^Authorization | sort -u | cut -d " " -f 3 | base64 -d
![[WASAPI]音频API:从Qt MultipleMedia走到WASAPI,相似与不同](http://pic.xiahunao.cn/nshx/[WASAPI]音频API:从Qt MultipleMedia走到WASAPI,相似与不同)
