iT邦幫忙

2022 iThome 鐵人賽

DAY 14
1

小提醒:如果想跟著操作此篇,請先去以下網址進行安裝喔!
Day 11 : 實作篇 - Kali Linux VM虛擬機安裝教學
Day 12 : 實作篇 - Metasploitable2、OWASPBWA 靶機安裝教學

大家好,今天是開始實作的第二篇
那今天要來跟大家介紹wireshark這個好東西!

wireshark

它最早被稱作Ethereal,是一個可以即時捕獲網路封包的好工具,你可以利用它進行封包解析,查看封包的詳細資訊。它支援好幾百種的通訊協定,幾乎所有封包都能辨識,而且它擁有過濾的功能,所以你可以選擇針對特定 IP 或通訊協定來進行分析

這裡附上它的 Logo 給大家參考參考
https://ithelp.ithome.com.tw/upload/images/20220929/20141088EOGbcaIWu4.png

那我們就來開始操作吧!
首先,開啟你的Kali VM,按左上角的「kali icon」,搜尋wireshark並開啟它
https://ithelp.ithome.com.tw/upload/images/20220929/20141088ktcwGjkSQT.png

這時它會問你要捕獲的封包對象為何,這裡我們選擇「eth0(乙太網路)
https://ithelp.ithome.com.tw/upload/images/20220929/20141088WJeEJU8PmN.png

封包列表最上面這排,有寫著封包的重要資訊

  • No.:捕獲到的封包編號(順序)
  • Time:封包被捕獲到的時間
  • Source:封包的來源端 IP
  • Destination:封包的目的端 IP
  • Protocol:封包的通訊協定
  • Length:封包的長度
  • Info:封包的簡略內容

https://ithelp.ithome.com.tw/upload/images/20220929/20141088eB7eZVeTGD.png

再來到VirtualBox的 VM 列表,開啟我們的OWASPBWA靶機,登入後輸入ifconfig,確認它的 IP 位址為何(這裡每個人的 IP 位址皆不同,後續操作照你機器的 IP 即可)
https://ithelp.ithome.com.tw/upload/images/20220929/20141088OvuO16r8p2.png

ICMP

回到我們的Kali VM,打開終端機,輸入ping <你owb的IP位址>,這邊我的 IP 位址為10.0.2.8
這時你會看到 wireshark 開始捕獲到封包,其通訊協定為ICMP,主要用來確定封包是否及時到達預期的目的地
https://ithelp.ithome.com.tw/upload/images/20220930/20141088XUzlJKcLAO.png


那我們現在來捕獲 Firefox 的封包
按左上角的「Firefox icon」,開啟 Firefox
https://ithelp.ithome.com.tw/upload/images/20220930/201410886p9Hc3byF2.png

可以看到一開啟 Firefox,wireshark 就捕獲到許多的封包,各式各樣的通訊協定都有
https://images-ext-1.discordapp.net/external/OtHmbXk2yvn_enhK7vldFtcdPEvAJuMkO0risDtWBJA/https/ithelp.ithome.com.tw/upload/images/20220930/20141088hs9W3cPL00.png

TCP

這裡我們放大看,可以看到封包編號 153、154、155 在 info 的地方寫著 [SYN]、[SYN、ACK]、[ACK],這是在進行 TCP 三向交握(three way handshaking)的意思
https://ithelp.ithome.com.tw/upload/images/20220930/20141088ojLILaiMtR.png

那 TCP 三向交握是什麼呢?
它是用來看指定的 port 號服務是否有啟動,如果有,則步驟如下:

  • Source(來源端) 指定一個 port 號,並傳送一個 [SYN] 給 Destination(目的端)
  • Destination(目的端)回傳 [SYN、ACK]
  • Source(來源端)再將 [ACK] 回傳給 Destination(目的端),表示連線確認

如果該 port 號服務沒有啟動,則步驟2的 Destination(目的端)會回傳 [RST],表示放棄連線或重連
https://ithelp.ithome.com.tw/upload/images/20220930/20141088g4ZieiBJKk.png

講完了 TCP,我們來連 owb 靶機吧!
回到 Firefox,在網址列的地方打上你 owb 的 IP 位址,這邊我的 IP 位址為10.0.2.8
https://ithelp.ithome.com.tw/upload/images/20220930/20141088NpCBaTqwfP.png

到 owaspbwa 的畫面,點擊「Damn Vulnerable Web Application,簡稱DVWA」,它是用PHP/MySQL為基礎的網頁,用來進行網頁檢測的練習和測試
https://ithelp.ithome.com.tw/upload/images/20220930/20141088MtuuTJTHVg.png

由於這個 DVWA 的登入沒有使用加密,能直接在通訊封包裡看到輸入的帳密明文,所以這裡我們要故意登入失敗,才能捕獲到它的封包
我這邊帳密輸入的是test123/test0929,輸入完按下「Login
https://ithelp.ithome.com.tw/upload/images/20220930/20141088DeTYdkemkT.png

回到 wireshark,在上方的過濾器裡輸入http,代表只顯示通訊協定為http的封包
找到一個有使用POST的封包,且來源端為「kali 的 IP」,而目的端為「owb 靶機的 IP
再將「HTML Form URL Encoded: application/x-www-form-urlecoded」點開
https://ithelp.ithome.com.tw/upload/images/20220930/20141088ZCthdsxLoE.png

就能看到剛剛輸入的帳密明文囉!
https://ithelp.ithome.com.tw/upload/images/20220930/20141088K0XCUqDhpm.png

如果你想看到更詳細的封包資訊,可以對這個封包按右鍵 > Follow > TCP Stream
https://ithelp.ithome.com.tw/upload/images/20220930/20141088kICH7z6bgi.png

這裡一樣看的到帳密明文,同時也多了其他的資訊
https://ithelp.ithome.com.tw/upload/images/20220930/20141088Rplc1isQJl.png


以上就是今天的介紹
希望大家看完能對 wireshark 更加了解


上一篇
Day 13 : 實作篇 - 如何使用 John the Ripper 進行密碼破解
下一篇
Day 15 : 實作篇 - 如何使用 nmap 進行 port scanning
系列文
做IT必備的資安觀念!手把手帶你攻防實戰30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言