OSCP课后练习-tcpdump

本篇文章旨在为网络安全渗透测试行业OSCP考证教学。通过阅读本文，读者将能够对tcpdump日志分析关键信息过滤有一定了解

1、下载练习分析文件

wget https://www.offensive-security.com/pwk-online/password_cracking_filtered.pcap

2、查看分析文件所有内容

sudo tcpdump -r password_cracking_filtered.pcap 
#-r #读取抓包文件

3、过滤分析文件的过滤IP流量

sudo tcpdump -n -r password_cracking_filtered.pcap | awk -F " " '{print $5}' | sort | uniq -c | head
#-F "" 以空格为分隔符号，{print $5}显示第五列的内容
#第一列是时间，然后ip，源地址，第五列就是目标地址，利用上边的命令筛选出目标地址
#-n 跳过dns名称查找
#sort：对输入的数据进行排序，默认按字典顺序排列。
#uniq：用于报告或省略重复的行。 -c 统计每个唯一行出现的次数

4、筛选源IP为172.16.40.10的数据包

sudo tcpdump -n src host 172.16.40.10 -r password_cracking_filtered.pcap
#-n src 源地址

5、筛选目的IP为172.16.40.10的数据包

sudo tcpdump -n dst host 172.16.40.10 -r password_cracking_filtered.pcap
-n dst 目的地址

6、筛选端口为81的数据包

sudo tcpdump -n port 81  -r password_cracking_filtered.pcap

7、显示流量数据包的数据

sudo tcpdump -nX -r password_cracking_filtered.pcap
#-n禁止将地址和端口号解析为名称。这样可以加快输出速度，并避免DNS解析带来的延迟。
#x以十六进制和ASCII格式同时显示数据包的内容。这对于深入分析数据包中的具体内容非常有用。
#-r 读取
#第一行：时间戳、协议类型、源IP和端口、目标IP和端口、标志位等信息。
#后续行：数据包内容的十六进制和ASCII表示。

8、转换16进制查看数据包

sudo tcpdump -A -n "tcp[13]=24" -r  password_cracking_filtered.pcap
#这条命令是以超级用户权限（sudo）运行 tcpdump 工具
#让其以 ASCII 码形式（-A）显示数据包内容、不进行域名解析（-n）
#并筛选出 TCP 标志位中特定值（十六进制 24，对应特定 TCP 状态）的数据包
#对 password_cracking_filtered.pcap 这个已捕获的网络数据包文件进行分析查看.

9、过滤Authorization身份验证字段的信息

sudo tcpdump -A -n "tcp[13]=24" -r  password_cracking_filtered.pcap | grep ^Authorization | sort -u 

10、对身份验证字段的密文进行base64解码

sudo tcpdump -A -n "tcp[13]=24" -r  password_cracking_filtered.pcap | grep ^Authorization | sort -u | cut -d " " -f 3 | base64 -d