如何通过Wireshark还原Pcap包中的图片

相关阅读

继续上次说到的比武里面,有一道关于流量分析的题,如何通过Wireshark还原pcap包中的图片?

动图操作

图片[1]-如何通过Wireshark还原Pcap包中的图片-FancyPig's blog
请打开图片观看gif

图文教程

通常情况下,一般我们看到的图片都是网站上get请求获取的,因此我们在wireshark中使用http进行过滤

图片[2]-如何通过Wireshark还原Pcap包中的图片-FancyPig's blog
过滤前显示的内容
图片[3]-如何通过Wireshark还原Pcap包中的图片-FancyPig's blog
过滤后显示的内容

过滤后发现仅有8行内容,而且其中我们可以看到,我们通过GET请求,预览了flag.jpg这个文件

图片[4]-如何通过Wireshark还原Pcap包中的图片-FancyPig's blog

那我们如何在wireshark中还原这个图片呢?在JPEG File上,我们右键导出分组字节流

图片[5]-如何通过Wireshark还原Pcap包中的图片-FancyPig's blog

然后随便命名就好了,点击保存

图片[6]-如何通过Wireshark还原Pcap包中的图片-FancyPig's blog
图片[7]-如何通过Wireshark还原Pcap包中的图片-FancyPig's blog
导出好的文件为flag.bin

我们需要手动将其修改为jpg后缀的即可查看图片内容

图片[8]-如何通过Wireshark还原Pcap包中的图片-FancyPig's blog

然后就能看到图片的内容了

图片[9]-如何通过Wireshark还原Pcap包中的图片-FancyPig's blog

延伸阅读

上面的操作有没有实际价值或者说实际意义呢?答案肯定是有的,假设我们在公司的网卡流量镜像口通过一些流量设备抓取pcap包,公司内的全部上网记录都将会保存下来,那么比方说每个员工在公司上网的时候下载了哪些视频、看了哪些图片也都能跟追查到,因此,还是比较有趣的,当然,我们之前还分享过通过suricata来完成上述需求的方法

两者本质上原理和思路是一样的。

© 版权声明
THE END
喜欢就支持一下吧
点赞20赞赏 分享
评论 共1条

请登录后发表评论