Wireshark简介

抓包前

1.打开wireshark得到下面的界面

2.选择菜单栏上捕获-> 选项，勾选WLAN网卡（这里需要根据各自电脑网卡使用情况选择，简单的办法可以看使用的IP对应的网卡）。点击开始。启动抓包。

3.wireshark启动后，wireshark处于抓包状态中。

抓包后

简单介绍一下打开一个文件后的界面

在数据列表区的颜色不同，有不同的意义，如下：

其中的主要区域：

1.应用显示过滤器， 用于设置过滤条件进行数据包列表过滤。菜单路径：分析–> 显示过滤器。

2.数据包列表， 显示捕获到的数据包，每个数据包包含编号，时间戳，源地址，目标地址，协议，长度，以及数据包信息。 不同协议的数据包使用了不同的颜色区分显示。

刷题实操

[陇剑杯 2021]jwt

[陇剑杯 2021]jwt（问1）

其实从题目我们就知道答案了。但是我们还是得学会怎么做，用wireshark打开，结合题目描述，“认证方式”，我们就去搜索一下认证方式

对比三种认证方式：传统token认证，jwt认证，oauth认证_token认证原理-CSDN博客

看到了题目的jwt，其中有header，而wireshark的流量分析也有head，查看一下，有token然后，我们追踪一下，这一段token是什么其中成分挺多的，有大写、小写、数字、下划线......那么我们先试试base64这样解码可以看到一个经典的用户名‘admin’，所以这应该就包含了我们的flag

[陇剑杯 2021]jwt（问2）

在前文的那篇文章中我们可以得到如下知识：

也就是说id和name都包含到了token里面，所以我们搜索字符串token 看到whoami，这里我们就已经能感知到自己成功了，继续base64解码

[陇剑杯 2021]jwt（问3）

需要的是权限是什么。我搜索刚才的whoami，然后这一条流量的下一条应该就是它的回复了，所以我们就看看下一条流量，得到回复是root，所以权限是root

[陇剑杯 2021]jwt（问4）

题目描述是文件上传，所以我们过滤

http.request.method=="POST"

挨个查看信息，看到了一个类似文件的

[陇剑杯 2021]jwt（问5）

和上一题类似，再过滤一个字符串so

[陇剑杯 2021]jwt（问6）

因为给的是黑客攻击流量，所有http的请求方法应该为“POST"

Etc是Linux系统下的一个文件夹，一般用来寄存程序所需的整个文件系统的配置文件

根据echo “auth optional looter.so”>>/etc/pam.d/common-auth可知其意为：向/etc/pam.d/common-auth文件追加一行内容，内容为auth optional looter.so，故文件路径为/etc/pam.d/common-auth

[陇剑杯 2021]webshell

[陇剑杯 2021]webshell（问1）

需要的是密码，所以输入pass找找

[陇剑杯 2021]webshell（问2）

因为修改的是日志文件，所以后缀通常是.log，那么就搜索这个字符串直接提交显示错误，再看一下题目，说的是绝对路径，就得从根目录开始，那么我们就需要再找一下该路径的工作目录的路径

这里我们需要来学习一下aaa这个传参，这句话进行base64解码后得到的是：

"aaa"="system('echo <?php eval($_REQUEST[aaa]);?>|=base64 -d > /var/www/html/1.php');

这个代码将会实现在目标服务器上植入PHP webshell，从这里我们可以看到植入的文件是1.php，所以这个文件和我们的日志文件是同一级的，所以我们就找到了需要的根目录。

[陇剑杯 2021]webshell（问3）

黑客获取webshell后，大概率会执行id或者whoami命令来查看自己的权限，那么就搜索字符串whoami去获得，得到了两条流量，我们就分别追踪

第一条的状态码是404，就不用看了第二条的状态码是200那么就继续往下审（也可以选择直接搜索use，因为User Group就是用户权限的意思，也就是对whoami的回答了）