Posts Wireshark 提取图像
Post
Cancel

Wireshark 提取图像

描述

提供捕获到的流量数据包,其中包含邮件以及附件

要求

分析并从附件中提取图像并找到以下详细信息

  1. 图像的MD5值
  2. 地址
  3. 日期

步骤

  1. 在数据包很多的情况下,定位关键数据包的一种实用方法是查看TCP对话并根据传输字节大小进行排序,选择具有最大字节数的会话后,单击Follow Stream以打开该TCP流 1

  2. 在检查TCP流之后,我们推断出以下内容

  • E-mail sender:Dhakkan@securityoverride.com
  • E-mail recipient: hacku@dhakkansecurity.com
  • Subject: The secret Concept Car Photo
  • Content-Transfer-Encoding: quoted-printable
  • Attachment name and format: secret.rtf (Rich Text Format)
  • 2
1
> 正如我们从收集的信息中看到的那样,电子邮件以可引用的可打印格式编码,附件采用rtf格式 

3.从提供的跟踪文件中提取附件 3

  • 方法一:直接复制该数据段另存为RTF文件

  • 方法二:使用imf作为显示过滤器并前往所选IMF数据包的数据包详细信息窗格,展开并定位到Data段,右键单击转到Show Packet Bytes选项,选择解密选项Quoted-Printable,然后保存为secret.rtf

    5

4.打开文件提取图像 6

5.生成图片的MD5值 certutil -hashfile concept.jpg MD5 md5sum concept.jpg

总结

  1. 在解码时可以选择使用Python脚本或在线网站
1
2
3
4
5
  #!/usr/bin/python
  import os, quopri
  encodedFile=open('secret.rtf')
  decodedFile=open('decoded_secret.rtf', 'wb')
  quopri.decode(encodedFile, decodedFile)

2.获取到的信息:

  • 图像的MD5值: 3796102e17ff50382cb48160b76a3946
  • 地址: Movie Park, Germany
  • 日期: 29 February 2011
This post is licensed under CC BY 4.0 by the author.

Wireshark技巧 1

Wireshark 分析包含受感染流量的捕获文件

Comments powered by Disqus.