从0开始学杂项 第八期:流量分析(2) 数据提取

CHTXRT2024-09-04 20:14

Misc 学习(八) - 流量分析:数据提取

这一期,我们主要写一下如何进行比较繁多的数据的提取。

使用 Tshark 批量提取数据

有时候,我们会需要从多个包中提取数据,然后再进行截取和组合,比如分析一个布尔盲注的流量文件等,这时,Tshark就派上了它的用场。

Tshark 是 Wireshark 的命令行版,可以高效快捷地提取数据,从而省去了繁杂的脚本编写。

bash 复制代码 
tshark.exe -r 123.pacp -T fields -e frame.time_relative -e ip.src -e ip.dst -e ip.proto -e frame.len -E header=y -E separator=, > out123.csv

-r 123.pcap	读取要分析的报文记录文件(pcap)
-T fields	输出格式,选 fields 按字段,还有其他选项,比如json等其他格式,必须结合-E和-e一起使用
-e 取出某个字段(提取出的csv文件将以此作为字段名,如 -e ip.src (发送地址)-e ip.dst(目标地址) -e ip.proto -e frame.len)
-Y 筛选过滤报文,与wireshark的过滤器基本一致,例:-Y 'http.host == "web-server1"'
-E header=y	输出是否有表头,y表示有表头,n表示没有表头
-E separator=,	以逗号作为分隔符

光看不做,可能大家看不大懂,那就找个例子给大家演示一下:

我们的目的,是在这个流量文件中,提取出如图所示的json格式的用户数据。那我们首先要明确两个问题:1. 如何筛选出需要提取出数据的包?2. 应该提取每个包中的哪个部分?

筛选

确定筛选的范围,我们可以使用Wireshark的过滤器可视化地确定范围。对于这个题目,我们知道要提取的是JSON,可以使用json进行过滤:

提取

接下来就是确定提取包里的哪些东西,这个题里我们不需要提取ip之类的东西,只需要提取出JSON就可以了。那有些同学可能就想了,能不能提取json呢,同学们可以试一下,结果我就不说了。这里,我们可以点击这块数据,就可以看到最下方显示了这块数据的成分:tcp.segment_data,我们就可以提取每个含有json包中的tcp.segment_data

构造命令

根据上文,我们可以构造出如下命令:

bash 复制代码 
tshark -r data.pcapng -T fields -e tcp.segment_data -Y 'json' -E header=n -E separator=, > out123.csv

# 其中:
# -r data.pcapng:从data.pcapng中提取
# -T fields:按字段提取
# -e tcp.segment_data:提取tcp.segment_data
# -Y 'json':筛选'json'
# -E header=n -E separator=,:不要表头,以逗号为分隔符

在Kali中运行这段命令,即可得到out123.csv,不过打开来看,里面是一串十六进制字符串,我们只需要用Cyberchef打开文件,将其转换为字符串即可得到JSON数据:

使用 Wireshark 提取数据

使用Wireshark也可以提取上题的JSON数据,但是比较复杂,所以我个人还是推荐用Tshark。

筛选

跟上面一样,我们使用使用json进行过滤。
2.

新建列

我们可以看到,Wireshark自带的几个列中是没有segment_data的,我们首先要右键表头,点击"列首选项"。

然后点击下面的加号,新建一个列,名字无所谓,类型选 Custom,"Fields"就写你要提取的部分,这里我们要提取的是tcp.segment_data,打完以后点击确定。

可以看到在Info的右边就多出来了一列。
3. 点击顶部菜单-文件-导出分组解析结果,你想导出什么格式就选什么格式,分组范围选择"已显示"-"所有分组",点击保存,即可获得与Tshark导出的类似的csv文件,但是这个文件多了几列(No、Time等,就是你默认显示的那些列),并且有表头。

后面流程与Tshark相差不多,在此不再赘述。

本期就先写到这里,主要内容为如何使用Tshark和Wireshark实现流量文件中复杂数据的提取,下一期可能写写USB协议流量包的分析。

参考资料

1\] CTF-WIKI :https://ctf-wiki.org/misc/traffic/data/ \[2\] wireshark.org :https://www.wireshark.org/docs/wsug_html_chunked/ChIOExportSection.html 以上内容仅供参考,如有错漏,也很正常。 作者:[CHTXRT](https://blog.csdn.net/CHTXRT) 出处:https://blog.csdn.net/CHTXRT 本文使用「[CC BY-ND 4.0](https://creativecommons.org/licenses/by-nd/4.0/)」创作共享协议,转载请在文章明显位置注明作者及出处。

相关推荐
卓码软件测评1 小时前
【网站测试:CORS配置错误引发的安全风险及测试】
功能测试·安全·web安全·压力测试·可用性测试·安全性测试
吱吱企业安全通讯软件2 小时前
吱吱企业通讯软件保证内部通讯安全,搭建数字安全体系
大数据·网络·人工智能·安全·信息与通信·吱吱办公通讯
云边云科技4 小时前
零售行业新店网络零接触部署场景下,如何选择SDWAN
运维·服务器·网络·人工智能·安全·边缘计算·零售
中科数测6 小时前
开源软件惊现高危漏洞,中科固源解决方案利用GDB 调试成关键 “排雷兵”,实战运用指南
安全
AAA修煤气灶刘哥8 小时前
《从 0 到 1 上手:RBAC+SpringSecurity 权限管理教程》
java·后端·安全
爱隐身的官人9 小时前
应急响应-模拟服务器挂马后的应急相关操作
网络安全·应急响应
网安INF10 小时前
【论文阅读】-《SIGN-OPT: A QUERY-EFFICIENT HARD-LABEL ADVERSARIAL ATTACK》
论文阅读·人工智能·网络安全·对抗攻击
深盾安全12 小时前
使用Frida实现Hook,修改接口调用
安全
嵌R式小Z14 小时前
JSON&cJSON
json
2301_8016730120 小时前
8.19笔记
网络·安全
热门推荐
01UV安装并设置国内源02DeepSeek更新!速览DeepSeek V3.1新特性03KGG转MP3工具|非KGM文件|解密音频04Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code05蜘蛛磁力 搜索引擎大全,如何使用蜘蛛磁力查找磁力链接06【2025.08.06最新版】Android Studio下载、安装及配置记录(自动下载sdk)07Spring 调试终于不再痛苦了082025最新国内服务器可用docker源仓库地址大全(2025年8月更新)09Claude Code VSCode集成开发指南:AI编程助手完整配置10【大模型实战篇】部署GPT-OSS-120B踩得坑(vllm / ollama等推理框架)