抓包

1、工具安装 Mac15.1 ，Xcode11.2.1 这一步有个小坑，我第一次执行rvictls -s 提示 rvictl: command not found。Stack Overflow上提供了两种解决方法： xcode没有安装Command Line Tools,执行命令 xcode-select --install 安装一下然后重启终端，对我无效 进入/usr/bin，看有没有rvictls安装。没有的话,进入下面两个目录，安装下两个pkg。 a.Xcode.app/Contents/Resources/Packages/MobileDevice.pkg b.Xcode.app/Contents/Resources/Packages/MobileDeviceDevelopment.pkg 仍然无效 原来rvictls 改变了路径，新的路径在/Library/Apple/usr/bin/ 2、使用 运行rvictl -s 设备udid成功后，页面多了一个rvi0的虚拟网卡，用wireshark就可以抓包了 来源： https://www.cnblogs.com/xidianzxm/p/11890872.html

基于Web方式的数据包捕获实践 实验环境 ：下文基于 OSSIM 4. 15.2 平台得出实验结论。 抓包是运维的必备技能，很多网络故障需要靠抓包来解决,如常见的ARP欺骗和广播风暴。另外还有一些网线或光纤接触不好的故障，不抓包也很难分析出来，例如两个公司之间互联，网线测试都没问题，但始终不通。经过抓包分析表明，发现其他单位的ping请求都伴随着ARP查询，而不走路由，这时怀疑有可能掩码设置错误的问题，经仔细排查，确实是路由器上的掩码出现失误。抓包工具有不少但选择一款适合你的工具非常重要。 本文主要为大家介绍OSSIM环境中，故障排除利器—基于Web的数据包分析工具，它是Wireshark的另一种表现形式，这和CloudSharkAppliance(cloudshark.org)的表现手法非常类似。如下图所示。 从功能上看这种基于 Web 的抓包分析工具是 Wireshark 的精简版。它的优势在于远程客户端，通过 Web 界面就可以实现在服务器端抓包，还能够抓到不同传感器（能收集不同网段的信息）所检测的数据包异常。在阅读本章时，需要读者具备网络嗅探与数据报分析的基础知识，具有一定 Wireshark 抓包经历。 过去，分析网络故障常在一个系统中用tcpdump抓包，将包保存起来，再导入Wireshark在进行分析。不过现在使用OSSIM WebUI下的Traffic

前言 随着移动应用的发展和推广，APP应用安全越来越受到重视。APP中各类防抓包的机制的出现，让测试无法正常进行分析。 这篇文章算是总结一下我最近遇到的一款抓不到包的APP，给大家提供一个双向证书认证应该如何解决的思路。 判断证书双向认证 刚拿到此app时候常规方法一把梭，发现只要一开启手机代理，却提示网络异常，通过观察burpsuite的记录发现，只有请求包而没有响应包。 直觉告诉我应该是使用SSL Pinning防止中间人拦截攻击，然后我开启了ssl-kill-switch2后发现该APP所有的响应包返回 400 No required SSL certificate was sent的报错信息。 根据报错提示，搜了一下发现该错误是指服务器端启用了证书双向认证。 当服务器启用了证书双向认证之后，除了客户端去验证服务器端的证书外，服务器也同时需要验证客户端的证书，也就是会要求客户端提供自己的证书，如果没有通过验证，则会拒绝连接，如果通过验证，服务器获得用户的公钥。 该app直接封装了客户端的证书，相比于单项认证，无非就是多了一个服务器端验证客户端证书的过程，而在以往的用代理工具如burp这类工具，抓取https的包时，除了浏览器获取的是代理工具的证书外，默认是不发送证书给服务器端的。burp在抓取https报文的过程中也提供了双向认证的证书发送，但是是使用了burp提供的证书文件

一、 网络地址规划表 主机IP 子网掩码 默认网关 MAC地址 10.11.11.128 255.255.255.0 10.11.8.254 78-45-C4-8E-82 IP地址配置为： 10.11.11.128 子网掩码为：255.255.252.0 默认网关：10.11.8.254 二、在命令提示符中输入ping www.baidu.com 测试连通性， 结果显示能ping 百度，说明网络连通。 三、应用层 1.www 请求报文： 响应报文： 这里http从请求到返回耗时0.035738000s，request in frame:97表示此请求报文frame:97。 2.直播： 打开企鹅电竞直播： 由图可知源端口号为9908，目的端口号为9000，用户数据报长度为62 比特，校验和为0x96ca，数据大小为54 bytes。 四、传输层 3次握手过程分析 客户端通过TCP首部发送一个SYN包作为建立连接的请求等待确认应答(SYN=1)。服务器发送ACK包确认应答（ACK=1），发送SYN包请求连接(SYN=1)。客户端针对SYN包发送ACK包确认应答(ACK=1)。主机的TCP通知上层应用进程，连接建立。 4次挥手过程分析 所谓四次挥手（Four-Way Wavehand）即终止TCP连接，就是指断开一个TCP连接时，需要客户端和服务端总共发送4个包以确认连接的断开

中国人民公安大学 Chinese people ’ public security university 网络对抗技术 实验报告 实验二 网络嗅探与欺骗 学生姓名 单健彪 年级 2017 区队 网安五区 指导教师 信息技术与网络安全 学院 201 9 年 11 月11 日 实验任务总纲 20 19 —2020 学年 第 一 学期 一、实验目的 1．加深并消化本课程授课内容，复习所学过的互联网搜索技巧、方法和技术； 2．了解并熟悉常用的网络嗅探方式，掌握常用抓包软件的使用方法和过滤技巧，能够对给定的数据包分析网络基本行为；掌握ARP欺骗的基本原理，以及基于ARP欺骗的DNS攻击方式； 3．达到巩固课程知识和实际应用的目的。 二、实验要求 1．认真阅读每个实验内容，需要截图的题目，需清晰截图并对截图进行标注和说明。 2．文档要求结构清晰，图文表达准确，标注规范。推理内容客观、合理、逻辑性强。 3．软件工具可使用office2003或2007、CAIN、Wireshark等。 4．实验结束后，保留电子文档。 三 、实验步骤 1．准备 提前做好实验准备，实验前应把详细了解实验目的、实验要求和实验内容，熟悉并准备好实验用的软件工具，按照实验内容和要求提前做好实验内容的准备。 2．实验环境 描述实验所使用的硬件和软件环境（包括各种软件工具）； 开机并启动软件office2003或2007

试验二 备用 （非平台） 中国人民公安大学 Chinese people ’ public security university 网络对抗技术 实验报告 实验二 网络嗅探与欺骗 学生姓名 招浩成 年级 2017 区队 网安四区 指导教师 高见 信息技术与网络安全 学院 2019 年 11 月11 日 实验任务总纲 2019 —2020 学年 第 一 学期 一、实验目的 1．加深并消化本课程授课内容，复习所学过的互联网搜索技巧、方法和技术； 2．了解并熟悉常用的网络嗅探方式，掌握常用抓包软件的使用方法和过滤技巧，能够对给定的数据包分析网络基本行为；掌握ARP欺骗的基本原理，以及基于ARP欺骗的DNS攻击方式； 3．达到巩固课程知识和实际应用的目的。 二、实验要求 1．认真阅读每个实验内容，需要截图的题目，需清晰截图并对截图进行标注和说明。 2．文档要求结构清晰，图文表达准确，标注规范。推理内容客观、合理、逻辑性强。 3．软件工具可使用office2003或2007、CAIN、Wireshark等。 4．实验结束后，保留电子文档。 三 、实验步骤 1．准备 提前做好实验准备，实验前应把详细了解实验目的、实验要求和实验内容，熟悉并准备好实验用的软件工具，按照实验内容和要求提前做好实验内容的准备。 2．实验环境 描述实验所使用的硬件和软件环境（包括各种软件工具）；

1 起因 前段时间，一直在调线上的一个问题：线上应用接受POST请求，请求body中的参数获取不全，存在丢失的状况。这个问题是偶发性的，大概发生的几率为5%-10%左右，这个概率已经相当高了。在排查问题的过程中使用到了tcpdump和Wireshark进行抓包分析。感觉这两个工具搭配起来干活，非常完美。所有的网络传输在这两个工具搭配下，都无处遁形。 为了更好、更顺手地能够用好这两个工具，特整理本篇文章，希望也能给大家带来收获。为大家之后排查问题，添一利器。 2 tcpdump与Wireshark介绍 在网络问题的调试中，tcpdump应该说是一个必不可少的工具，和大部分linux下优秀工具一样，它的特点就是简单而强大。它是基于Unix系统的命令行式的数据包嗅探工具，可以抓取流动在网卡上的数据包。 默认情况下，tcpdump不会抓取本机内部通讯的报文。根据网络协议栈的规定，对于报文，即使是目的地是本机，也需要经过本机的网络协议层，所以本机通讯肯定是通过API进入了内核，并且完成了路由选择。【比如本机的TCP通信，也必须要socket通信的基本要素：src ip port dst ip port】 如果要使用tcpdump抓取其他主机MAC地址的数据包，必须开启网卡混杂模式，所谓混杂模式，用最简单的语言就是让网卡抓取任何经过它的数据包，不管这个数据包是不是发给它或者是它发出的。一般而言

首先随便输入一些东西 然后用burpsuite抓包 对username和password字段进行add进行爆破 找到了一个非等长包 成功爆破，密码123456 验证码绕过（server） 发现这个验证码抓包之后重新发包是可以通过验证码验证的。所以抓包后经过改包就可以获得密码 验证码绕过客户端 发现他是依靠本地的JS实现的 验证的时候也是在本地执行。 所以验证码对于数据包来讲无关紧要只要能绕过就行。 爆破成功 来源： https://www.cnblogs.com/p201721430032/p/11868293.html

Monkey怎么用的？ ①. 可以通过monkey命令来进行使用,基本命令是adb shell monkey -p 包名 -s 序列值 count(次数),其他参数根据情况需要设置,在monkey执行同时,用adb logcat命令抓取手机端日志 ②. 如果有代码能力或者有技术人员支持,可以将monkey设计成一个可视化工具,方便测试人员执行,提高测试效率. monkey测试，你们一次执行多久？ 一次执行8-10小时,伪随机事件在35万-26万次左右 monkey你们是通过app命令执行的吗？？具体用到什么参数？ 一般可以通过命令执行,我们项目用的参数有:-p包名 -s 序列值 --throttle 延迟时间 ----ignore-crashes --ignore-craash --ignore-security-exceptions --ignore-native-crashes --monitor-native-crashes count等参数 如何判断这个monkey是成功还是失败呢？ 根据monkey命令执行结束后的结果是否是monkey finished ,在这个基础上在查看手机的当前表现是否有死机等情况(如果monkey完成后,放置过程中发生问题也是需要解决的) 怎么用postman测试验证码这些？ ①. 可以使用万能验证码进行绕过 ②. 在测试阶段取消验证码功能 ③.

前言 　　最近在前端异常监控系统中，发现一些异常信息，从中做了一些分析，得到一些体会，因此作文。 发现异常 　　某天早上打开监控系统发现，当天凌晨1点过测试环境有2个前端上报的异常，报错的原因都是由于没有获取到 url 中的参数，比如正常的地址应该是 www.xx.com?a=1&b=2 , 但是实际访问的是 www.xx.com%3Fa%3D1%26b%3D2 。 很明显路径被 encode 了，导致程序没有拿到参数。 　　2个异常的访问路径是不一样的，并且以上2个地址 decode 之后再访问，能够正常打开页面，参数全部都是正确的。 这些访问的 url 是我们在做跳转的时候，入口配置的，我们的逻辑中不会 encode ，这个地方非常让人疑惑，为什么会出现这样的请求，猜测很可能是人为修改了再访问的。 后来把参数获取出来，去查询一些信息，发现这条请求是都来自于我们的测试同学的账户，但是私下询问过，1点过同事根本什么都没有做。 也排除了有其他人用他手机访问的情况。 再对参数里的信息做查询，发现这2个参数对应的数据是在2个多月前，我们项目测试阶段的数据，这就更奇怪了，2个月前的版本我们已经没有再测试了，同事也很久没有访问过这几个入口。 是不是有人在刷我们的页面，但为什么几个参数都是如此精确，都是正确的。 　　一定有其他人在访问。因为各方面情况看起来都很不正常： 　　　　1.