《信息安全技術》實踐總結

《信息安全技術》實踐總結

wireshark的安裝與使用

wireshark的安裝

• 首先，在終端運行：sudo apt-get install wireshark，進行wireshark的安裝；

• 安裝完成以後，若是直接用：sudo wireshark指令啓動wireshark，就會彈出錯誤：
  

• 錯誤提示：[string "/usr/share/wireshark/init.lua"]:44: dofile has been disabled，因此要對其進行修改，終端運行：sudo gedit /usr/share/wireshark/init.lua，將倒數第二行修改成--dofile(DATA_DIR.."console.lua")；

• 此時再次在終端運行：sudo wireshark啓動wireshark，這時就能夠正常啓動了。

wireshark的使用

• wireshark打開後的界面如圖所示：
  

• 先進行個簡單的抓包，點擊捕獲選項，選擇網絡接口以後點擊開始：
  

• 此時wireshark已經開始監聽，隨便點開一個網站，會發現抓了許多包：
  

• 這個時候已經抓包成功了，可是爲了在幾千甚至幾萬條記錄中找到本身須要的部分，咱們能夠利用過濾器來幫助咱們在大量的數據中迅速找到咱們須要的信息。過濾器分兩種，一種是顯示過濾器，就是主界面上那個，用來在捕獲的記錄中找到所須要的記錄，另外一種是捕獲過濾器，用來過濾捕獲的封包，以避免捕獲太多的記錄。我用的是顯示過濾器，顯示過濾器須要輸入表達式，表達式的規則網上都有，比較簡單，例如要查找IP源地址爲192.168.1.1的信息，直接輸入表達式：ip.src==192.168.1.1便可
  

HTTP協議

• HTTP是一個屬於應用層的面向對象的協議，因爲其簡捷、快速的方式，適用於分佈式超媒體信息系統。它於1990年提出，通過幾年的使用與發展，獲得不斷地完善和擴展。目前在WWW中使用的是HTTP/1.0的第六版，HTTP/1.1的規範化工做正在進行之中，並且HTTP-NG(Next Generation of HTTP)的建議已經提出。
• HTTP協議的主要特色可歸納以下：
  • 支持客戶/服務器模式。
  • 簡單快速：客戶向服務器請求服務時，只需傳送請求方法和路徑。請求方法經常使用的有GET、HEAD、POST。每種方法規定了客戶與服務器聯繫的類型不一樣。因爲HTTP協議簡單，使得HTTP服務器的程序規模小，於是通訊速度很快。
  • 靈活：HTTP容許傳輸任意類型的數據對象。正在傳輸的類型由Content-Type加以標記。
  • 無鏈接：無鏈接的含義是限制每次鏈接只處理一個請求。服務器處理完客戶的請求，並收到客戶的應答後，即斷開鏈接。採用這種方式能夠節省傳輸時間。
  • 無狀態：HTTP協議是無狀態協議。無狀態是指協議對於事務處理沒有記憶能力。缺乏狀態意味着若是後續處理須要前面的信息，則它必須重傳，這樣可能致使每次鏈接傳送的數據量增大。另外一方面，在服務器不須要先前信息時它的應答就較快。
• HTTP協議工做過程可分爲四步：
  • 首先客戶機與服務器須要創建鏈接。只要單擊某個超級連接，HTTP的工做開始。
  • 創建鏈接後，客戶機發送一個請求給服務器，請求方式的格式爲：統一資源標識符（URL）、協議版本號，後邊是MIME信息包括請求修飾符、客戶機信息和可能的內容。
  • 服務器接到請求後，給予相應的響應信息，其格式爲一個狀態行，包括信息的協議版本號、一個成功或錯誤的代碼，後邊是MIME信息包括服務器信息、實體信息和可能的內容。
  • 客戶端顯示響應消息而後客戶機與服務器斷開鏈接。 若是在以上過程當中的某一步出現錯誤，那麼產生錯誤的信息將返回到客戶端，有顯示屏輸出。對於用戶來講，這些過程是由HTTP本身完成的，用戶只要用鼠標點擊，等待信息顯示就能夠了。

TCP協議

• 傳輸層主要是包含兩個協議，即TCP和UDP協議。基於TCP協議的上層協議包括SMTP，Telnet，HTTP，FTP等，TCP是面向鏈接的。TCP協議的特色是：
  • 面向鏈接
  • 點對點（一對一）
  • 可靠交付
  • 面向字節流，也就是說僅僅把上層協議傳遞過來的數據當成字節傳輸。
• 爲了實現TCP上述的特色，TCP協議須要解決的是面向鏈接（創建鏈接和關閉鏈接的方式）、可靠傳輸（錯誤確認和重傳）、流量控制（發送方和接收方的傳輸速率協調）、擁塞控制四個方面。

捕獲TCP三次握手

• TCP創建鏈接時，會有三次握手過程，以下圖所示，wireshark截獲到了三次握手的三個數據包。第四個包纔是http的，說明http的確是使用TCP創建鏈接的
  

• 第一次握手：客戶端向服務器發送鏈接請求包，標誌位SYN（同步序號）置爲1，序號爲X=0
  

• 第二次握手：服務器收到客戶端發過來報文，由SYN=1知道客戶端要求創建聯機。向客戶端發送一個SYN和ACK都置爲1的TCP報文，設置初始序號Y=0，將確認序號(Acknowledgement Number)設置爲客戶的序列號加1，即X+1 = 0+1=1, 以下圖：
  

• 第三次握手：客戶端收到服務器發來的包後檢查確認序號(Acknowledgement Number)是否正確，即第一次發送的序號加1（X+1=1）。以及標誌位ACK是否爲1。若正確，服務器再次發送確認包，ACK標誌位爲1，SYN標誌位爲0。確認序號(Acknowledgement Number)=Y+1=0+1=1，發送序號爲X+1=1。客戶端收到後確認序號值與ACK=1則鏈接創建成功，能夠傳送數據了
  

《戲說春秋》前三關write up

第一關 圖窮匕見

• 首先看到圖片，第一反應就是先把圖片保存到本地，而後右鍵查看其屬性，看看裏面是否存在一些有價值的線索，看完以後發現並無。接着又嘗試着用記事本打開，在一堆亂七八糟的符號以後，在最後一行發現了一串比較整齊的字符。
  

• 看到有不少%就會聯想到這是url編碼，因而直接在百度上搜索url在線解碼，隨便選擇一個打開，將這串字符粘進去解碼便可獲得flag。

第二關 紙上談兵

• 看到這一關沒有圖片，習慣性的右鍵查看源代碼，在源代碼中發現以下重要信息：
  

• 根據提示很容易就知道這是base64編碼，直接用工具解碼獲得flag便可。

第三關 竊符救趙

• 和第一題同樣，將圖片保存到本地以後，通過幾種方法的嘗試都沒有找到有價值的信息。忽然想到以前作過的一道題目，因而將圖片後綴名改爲了zip，發現壓縮包裏有一張dh.jpg圖片
  

• 打開以後發現是一張虎符的圖片：
  

• 可是我並不知道這是一個什麼樣的虎符，flag也毫不可能僅僅是虎符這麼簡單，因而在百度上搜了一下虎符，點開百度百科，發現了一張和上圖中的虎符如出一轍的圖片：
  

• 答案就顯而易見了，這是一個杜虎符。

重放攻擊的實現

• 本次進行重放攻擊採用的工具是Burp Suite，利用Burp Suite進行抓包須要先設置代理，找到ProxyOptions，勾選代理服務器填寫地址127.0.0.1端口8080，端口能夠隨便定義可是要跟burp的監聽端口要一致而後保存，如圖所示：
  

• 再在瀏覽器上設置代理服務器（各瀏覽器設置的方式不同，能夠自行百度），設置完成後效果如圖：
  

• 接着就能夠進行抓包分析了，咱們主要要用到的就是Proxy（代理）功能，Proxy至關於Burp Suite的心臟，經過攔截，查看和修改全部的請求和響應瀏覽器與目標Web服務器之間傳遞，當intercept is on表示開啓攔截功能：
  

• 首先，我進行了實驗樓的抓包分析，我把網頁定格在了登陸頁面：
  

• 而後設置好瀏覽器代理後，登陸，這時burpsuite已經成功抓到了一個post包，這個包裏包含了登錄的用戶名及密碼，而且採用的是明文數據傳輸：
  

• 接着把這個包send to repeater，再從新發送一次這個包，提示應該自動重定向到目標網址，說明重放攻擊失敗，應該是實驗樓的網站作了防止重放攻擊的操做：
  

• 所以，我決定從新再找一個網站嘗試重放攻擊，因而找到了4399小遊戲網站，基本操做和上述相似，抓包以後發現用戶名和密碼依舊是採用的明文傳輸：
  

• 從新發送數據包後，發現其響應的信息跳轉到了下一個界面：
  
  

• 說明這個網站能夠實現重放攻擊。