如何通过Wireshark还原Pcap包中的图片
作者:FancyPig | 发布时间: | 更新时间:
相关阅读
data-postsbox="{"id":14551,"title":"如何使用hashcat破解zip压缩包密码?","author":"FancyPig","author_id":1,"cover_image":"","cover_video":"","views":9714,"comment_count":12,"category":"knowledge","is_forum_post":false}">{"id":14551,"title":"如何使用hashcat破解zip压缩包密码?","author":"FancyPig","author_id":1,"cover_image":"","cover_video":"","views":9714,"comment_count":12,"category":"knowledge","is_forum_post":false}
继续上次说到的比武里面,有一道关于流量分析的题,如何通过Wireshark还原pcap包中的图片?
动图操作
图文教程
通常情况下,一般我们看到的图片都是网站上get请求获取的,因此我们在wireshark中使用http进行过滤
过滤后发现仅有8行内容,而且其中我们可以看到,我们通过GET请求,预览了flag.jpg这个文件
那我们如何在wireshark中还原这个图片呢?在JPEG File上,我们右键导出分组字节流
然后随便命名就好了,点击保存
我们需要手动将其修改为jpg后缀的即可查看图片内容
然后就能看到图片的内容了
延伸阅读
上面的操作有没有实际价值或者说实际意义呢?答案肯定是有的,假设我们在公司的网卡流量镜像口通过一些流量设备抓取pcap包,公司内的全部上网记录都将会保存下来,那么比方说每个员工在公司上网的时候下载了哪些视频、看了哪些图片也都能跟追查到,因此,还是比较有趣的,当然,我们之前还分享过通过suricata来完成上述需求的方法
data-postsbox="{"id":5633,"title":"Suricata的实时流量、Pcap离线重放中的文件还原/文件提取功能教程","author":"FancyPig","author_id":1,"cover_image":"https://static.pigsec.cn/wp-content/uploads/2022/01/20220117092949594.png","cover_video":"","views":2960,"comment_count":11,"category":"cybersecurity","is_forum_post":false}">{"id":5633,"title":"Suricata的实时流量、Pcap离线重放中的文件还原/文件提取功能教程","author":"FancyPig","author_id":1,"cover_image":"https://static.pigsec.cn/wp-content/uploads/2022/01/20220117092949594.png","cover_video":"","views":2960,"comment_count":11,"category":"cybersecurity","is_forum_post":false}
两者本质上原理和思路是一样的。