Flow工具

text::流量理论

一、发包工具

1. curl

curl安装

命令:

  • curl url:get请求
  • curl -X -POST / -XPOST [ -d '{ key:value }' ] url:post请求(-d携带数据)
  • curl -XPUT url:上传数据
  • curl -XDELETE url:删除数据

参数:

  • -H 'str':加入首部(只带一个,多个需要写多个-H)
  • -I:获得首部响应信息
  • -O:下载到当前文件夹
  • -o path url:指定下载路径
  • --limit-rate <v> url:限制下载速度(默认字节)(和-O / -o一起使用)
  • -C - :终止下载后恢复下载(和-O / -o一起使用)
  • -L:跟随重定向(默认不跟随)
  • -v:显示底层链接信息
  • -u user:passwd:认证用户名和密码(和-O / -o一起使用可以利用 FTP 协议下载文件,-T path url:则可以利用 FTP 上传文件)
  • --proxy "protocol://user:passwd@proxy_ip:port" url:挂代理访问

二、抓包工具

1 Wireshark

SampleCaptures (wireshark.org)

1.1 工具使用

工具使用 基础 思路

视图——时间显示格式:改时间显示。

命令简单使用:
(host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

包含字符串的协议:
http contains "shell"

ip过滤:
ip.addr==47.56.157.205
ip.src / ip.dst

协议:
tcp / udp

端口:
tcp.port==80

1.2 分析思路

暴力破解方法:

  1. wireshark——编辑查找——分组字节流——flag

  2. 记事本打开查找 flag

普通分析方法:

  • 首先分析协议和包长,长度出现一次的包可疑。

  • 查看数据段之和。

    对应协议分析:

    1. icmp:ping命令。
    2. tcp:半连接,全连接。

1.3 py编程

my::分析案例

pyshark包

Tshark

import pyshark

# 加载本地的pcap文件,记得加路径,或者直接改config
capture=pyshark.FileCapture('fetus_pcap.pcap',tshark_path='D:\CTF\Capoo\Internet\Wireshark\\')
# 协议类型
pack.layer_name == 'icmp':
# 加上int转类型,否则是类接下来无法迭代
int(pack.data_len)

# 案例
import pyshark
import base64

if __name__ == '__main__':
    count = []
    # 加载本地的pcap文件
    capture=pyshark.FileCapture('fetus_pcap.pcap',tshark_path='Wireshark\\')
    for packet in capture:
        for pack in packet:
            if pack.layer_name == 'icmp':
                if int(pack.type) != 0:
                    count.append(int(pack.data_len))  # 加上 int 转类型,否则是类接下来无法迭代
    res = ""
    for i in count:
        res += chr(i)
    print(res)
    print(base64.b64decode(res))

2 BurpSuite

2.1 注册

  1. 打开 Burp Suite Professional CN.vbs。
  2. 打开 BurpSuiteLoader.jar。
  3. 复制 License 到 vbs 中。
  4. 复制 Requset 到 jar 中。
  5. 复制 Response 到 vbs 中。

2.2 Proxy

配置代理。

Intercept:

  • Forward:放包
  • Drop:丢弃包
  • Intercept is on:开启抓包

Options:配置抓包的IP和Port

2.3 Intruder

攻击类型:

  1. 默认为sniper模式:即如果有多个变量,对每个变量依次进行破解,一次只替换一个变量。也就是说,如果有username和password两个变量,那么它会先对username进行爆破,password字段不会改变,然后username不变,再对password字段进行爆破。

  2. Battering ram 模式:对多个变量同时进行破解。比如有username和password两个字段,使用字典进行破解,那么每次都会用字典中的一个值将两个变量同时替换。

  3. pitchfork模式:每个变量对应一个字典,比如username和password,依次取其对应的字典中的一条数据对相应变量进行替换,如果两个字典条数不一样,那么一共会执行条数较少的那么多次,即不会交叉替换,只会按每个字典的顺序进行替换。

  4. Cluster bomb模式:这种模式在pitchfork模式上进行了改进, 即把不同变量对应的字典中的值进行了排列组合,实现了不同的组合攻击。

有效载荷类型:

  1. 简单清单:字典。

  2. 递归搜索:从服务器获得的响应包作为参数进行请求。此时攻击类型应该选音叉,请求线程数设置为1,在Options——Grep-Extract中点击添加,获得响应,选定数据作为有效负载。

3 科来网络分析系统

official::下载科来网络分析免费产品及资源 - 科来 (colasoft.com.cn)

科来网络分析系统 2020

图形化抓取数据包。

4 封包工具

封包监听工具

可以抓取自己发出的包。通过对自己的发包修改或者重发包可以做一些操作。

封包(二)(雷电模拟器+ProxyDroid+CCProxy+WPE) 的使用

抓取模拟器的包:

  1. ProxyDroid:安装在手机上,设置代理,发包给CCProxy。
  2. CCProxy:设置代理:
    1. 设置——设置本机IP,不是虚拟网卡。
    2. 设置——高级——网络:设置本机IP。
    3. 账号——允许范围——允许所有。
  3. WPE:监控cc进程,进行封包抓包。

5 其他工具

Charles抓包工具(破解版) - 小葛师兄 - 博客园 (cnblogs.com)

模拟器上下载Fiddler证书全黏胶是全棉吗测试领头羊的博客-CSDN博客

三、GPS工具

1 GPS文件分析

GPS文件分析网页

  1. Make a HTML Map:网页:选择文件 —— Draw the map

  2. txt转KML还原GPSKML可视化GPS:选择 input 和 output 格式为 kml 和 CPS ,然后输出