《信息安全技术》实践总结

《信息安全技术》实践总结

wireshark的安装与使用

wireshark的安装

• 首先，在终端运行：sudo apt-get install wireshark，进行wireshark的安装；

• 安装完成以后，若是直接用：sudo wireshark指令启动wireshark，就会弹出错误：
  

• 错误提示：[string "/usr/share/wireshark/init.lua"]:44: dofile has been disabled，因此要对其进行修改，终端运行：sudo gedit /usr/share/wireshark/init.lua，将倒数第二行修改成--dofile(DATA_DIR.."console.lua")；

• 此时再次在终端运行：sudo wireshark启动wireshark，这时就能够正常启动了。

wireshark的使用

• wireshark打开后的界面如图所示：
  

• 先进行个简单的抓包，点击捕获选项，选择网络接口以后点击开始：
  

• 此时wireshark已经开始监听，随便点开一个网站，会发现抓了许多包：
  

• 这个时候已经抓包成功了，可是为了在几千甚至几万条记录中找到本身须要的部分，咱们能够利用过滤器来帮助咱们在大量的数据中迅速找到咱们须要的信息。过滤器分两种，一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所须要的记录，另外一种是捕获过滤器，用来过滤捕获的封包，以避免捕获太多的记录。我用的是显示过滤器，显示过滤器须要输入表达式，表达式的规则网上都有，比较简单，例如要查找IP源地址为192.168.1.1的信息，直接输入表达式：ip.src==192.168.1.1便可
  

HTTP协议

• HTTP是一个属于应用层的面向对象的协议，因为其简捷、快速的方式，适用于分布式超媒体信息系统。它于1990年提出，通过几年的使用与发展，获得不断地完善和扩展。目前在WWW中使用的是HTTP/1.0的第六版，HTTP/1.1的规范化工做正在进行之中，并且HTTP-NG(Next Generation of HTTP)的建议已经提出。
• HTTP协议的主要特色可归纳以下：
  • 支持客户/服务器模式。
  • 简单快速：客户向服务器请求服务时，只需传送请求方法和路径。请求方法经常使用的有GET、HEAD、POST。每种方法规定了客户与服务器联系的类型不一样。因为HTTP协议简单，使得HTTP服务器的程序规模小，于是通讯速度很快。
  • 灵活：HTTP容许传输任意类型的数据对象。正在传输的类型由Content-Type加以标记。
  • 无链接：无链接的含义是限制每次链接只处理一个请求。服务器处理完客户的请求，并收到客户的应答后，即断开链接。采用这种方式能够节省传输时间。
  • 无状态：HTTP协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。缺乏状态意味着若是后续处理须要前面的信息，则它必须重传，这样可能致使每次链接传送的数据量增大。另外一方面，在服务器不须要先前信息时它的应答就较快。
• HTTP协议工做过程可分为四步：
  • 首先客户机与服务器须要创建链接。只要单击某个超级连接，HTTP的工做开始。
  • 创建链接后，客户机发送一个请求给服务器，请求方式的格式为：统一资源标识符（URL）、协议版本号，后边是MIME信息包括请求修饰符、客户机信息和可能的内容。
  • 服务器接到请求后，给予相应的响应信息，其格式为一个状态行，包括信息的协议版本号、一个成功或错误的代码，后边是MIME信息包括服务器信息、实体信息和可能的内容。
  • 客户端显示响应消息而后客户机与服务器断开链接。 若是在以上过程当中的某一步出现错误，那么产生错误的信息将返回到客户端，有显示屏输出。对于用户来讲，这些过程是由HTTP本身完成的，用户只要用鼠标点击，等待信息显示就能够了。

TCP协议

• 传输层主要是包含两个协议，即TCP和UDP协议。基于TCP协议的上层协议包括SMTP，Telnet，HTTP，FTP等，TCP是面向链接的。TCP协议的特色是：
  • 面向链接
  • 点对点（一对一）
  • 可靠交付
  • 面向字节流，也就是说仅仅把上层协议传递过来的数据当成字节传输。
• 为了实现TCP上述的特色，TCP协议须要解决的是面向链接（创建链接和关闭链接的方式）、可靠传输（错误确认和重传）、流量控制（发送方和接收方的传输速率协调）、拥塞控制四个方面。

捕获TCP三次握手

• TCP创建链接时，会有三次握手过程，以下图所示，wireshark截获到了三次握手的三个数据包。第四个包才是http的，说明http的确是使用TCP创建链接的
  

• 第一次握手：客户端向服务器发送链接请求包，标志位SYN（同步序号）置为1，序号为X=0
  

• 第二次握手：服务器收到客户端发过来报文，由SYN=1知道客户端要求创建联机。向客户端发送一个SYN和ACK都置为1的TCP报文，设置初始序号Y=0，将确认序号(Acknowledgement Number)设置为客户的序列号加1，即X+1 = 0+1=1, 以下图：
  

• 第三次握手：客户端收到服务器发来的包后检查确认序号(Acknowledgement Number)是否正确，即第一次发送的序号加1（X+1=1）。以及标志位ACK是否为1。若正确，服务器再次发送确认包，ACK标志位为1，SYN标志位为0。确认序号(Acknowledgement Number)=Y+1=0+1=1，发送序号为X+1=1。客户端收到后确认序号值与ACK=1则链接创建成功，能够传送数据了
  

《戏说春秋》前三关write up

第一关 图穷匕见

• 首先看到图片，第一反应就是先把图片保存到本地，而后右键查看其属性，看看里面是否存在一些有价值的线索，看完以后发现并无。接着又尝试着用记事本打开，在一堆乱七八糟的符号以后，在最后一行发现了一串比较整齐的字符。
  

• 看到有不少%就会联想到这是url编码，因而直接在百度上搜索url在线解码，随便选择一个打开，将这串字符粘进去解码便可获得flag。

第二关 纸上谈兵

• 看到这一关没有图片，习惯性的右键查看源代码，在源代码中发现以下重要信息：
  

• 根据提示很容易就知道这是base64编码，直接用工具解码获得flag便可。

第三关 窃符救赵

• 和第一题同样，将图片保存到本地以后，通过几种方法的尝试都没有找到有价值的信息。忽然想到以前作过的一道题目，因而将图片后缀名改为了zip，发现压缩包里有一张dh.jpg图片
  

• 打开以后发现是一张虎符的图片：
  

• 可是我并不知道这是一个什么样的虎符，flag也毫不可能仅仅是虎符这么简单，因而在百度上搜了一下虎符，点开百度百科，发现了一张和上图中的虎符如出一辙的图片：
  

• 答案就显而易见了，这是一个杜虎符。

重放攻击的实现

• 本次进行重放攻击采用的工具是Burp Suite，利用Burp Suite进行抓包须要先设置代理，找到ProxyOptions，勾选代理服务器填写地址127.0.0.1端口8080，端口能够随便定义可是要跟burp的监听端口要一致而后保存，如图所示：
  

• 再在浏览器上设置代理服务器（各浏览器设置的方式不同，能够自行百度），设置完成后效果如图：
  

• 接着就能够进行抓包分析了，咱们主要要用到的就是Proxy（代理）功能，Proxy至关于Burp Suite的心脏，经过拦截，查看和修改全部的请求和响应浏览器与目标Web服务器之间传递，当intercept is on表示开启拦截功能：
  

• 首先，我进行了实验楼的抓包分析，我把网页定格在了登陆页面：
  

• 而后设置好浏览器代理后，登陆，这时burpsuite已经成功抓到了一个post包，这个包里包含了登录的用户名及密码，而且采用的是明文数据传输：
  

• 接着把这个包send to repeater，再从新发送一次这个包，提示应该自动重定向到目标网址，说明重放攻击失败，应该是实验楼的网站作了防止重放攻击的操做：
  

• 所以，我决定从新再找一个网站尝试重放攻击，因而找到了4399小游戏网站，基本操做和上述相似，抓包以后发现用户名和密码依旧是采用的明文传输：
  

• 从新发送数据包后，发现其响应的信息跳转到了下一个界面：
  
  

• 说明这个网站能够实现重放攻击。