wireshark

这是作者网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您喜欢，一起进步。前文分享了Easy_unserialize解题思路，详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。这篇文章将详细讲解WHUCTF隐写和逆向题目，包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。第一次参加CTF，还是学到了很多东西。人生路上，要珍惜好每一天与家人陪伴的日子。感谢武汉大学，感谢这些大佬和师傅们（尤其出题和解题的老师们）~ 作者作为网络安全的小白，分享一些自学基础教程给大家，主要是关于安全工具和实践操作的在线笔记，希望您们喜欢。同时，更希望您能与我一起操作和进步，后续将深入学习网络安全和系统安全知识并分享相关实验。总之，希望该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！如果文章对您有帮助，将是我创作的最大动力，点赞、评论、私聊均可，一起加油喔~ 文章目录 一.Misc-版权保护 1.题目描述 2.解题思路 二.Misc-过早了吗 1.题目描述 2.解题思路 三.Misc-佛系青年BingGe 1.题目描述 2.解题思路 四.Misc-shellOfAwd 1.题目描述 2.解题思路 五.Misc-wechat_game 1.题目描述 2.解题思路 六.RE1 1.题目描述 2.解题思路 七.总结 PS

查看配置DHCP服务器可用IP地址命令（理论值）： dis ip pool DHCP（Dynamic Host Configure Protocol），动态主机配置协议 从BOOTP（Bootstrap Protocol）协议发展而来（如使用Wireshark抓包，应过滤关键词为 bootp）； UDP封装，服务器= 67 ，客户端= 68 ； 动态分配TCP/IP信息（IP地址、子网掩码、默认网关、DNS服务器等） 分配出去的信息是有 租约 的 DHCP 系统组成 DHCP Client（客户端） 需要动态获得IP地址的主机 DHCPServer（服务器） 能提供DHCP功能的服务器或网络设备 DHCP Relay（中继） 一般为路由器或三层交换机等网络设备 配置DHCP命令 dhcp enable-------------全局模式，开启DHCP总开关 dhcp select interface--进入端口，开启DHCP服务 DHCP报文类型 报文类型 备注 DHCP Discover 客户端用来寻找DHCP服务器 DHCP Offer DHCP服务器用来响应DHCP Discover报文，此报文携带了各种配置信息 DHCP Request 客户端请求配置确认，或者续借租期 DHCP ACK 服务器对Request报文的确认响应 DHCP NAK

1 什么是长连接和短连接 三次握手和四次挥手 TCP区别于UDP最重要的特点是TCP必须建立在可靠的连接之上，连接的建立和释放就是握手和挥手的过程。 三次握手为连接的建立过程，握手失败则连接建立失败。 四次挥手为连接的 完整 释放过程，也会发生某个消息丢失或者超时的情况，有一方主动发送 FIN 消息即表示连接即将释放。 注： SYN、ACK、FIN消息具有哪些含义，以及连接的状态，请参考《TCP/IP详解 卷1》第18章。 长连接 长连接，也叫持久连接，在TCP层握手成功后， 不立即 断开连接，并在此连接的基础上进行多次消息（包括心跳）交互，直至连接的任意一方（客户端OR服务端）主动断开连接，此过程称为一次完整的长连接。HTTP 1.1相对于1.0最重要的新特性就是引入了长连接。 短连接 短连接，顾名思义，与长连接的区别就是，客户端收到服务端的响应后， 立刻发送FIN消息 ，主动释放连接。也有服务端主动断连的情况，凡是在一次消息交互（发请求-收响应）之后立刻断开连接的情况都称为短连接。 注：短连接是建立在TCP协议上的，有完整的握手挥手流程，区别于UDP协议。 2 如何快速区分当前连接使用的是长连接还是短连接 1、 凡是在一次完整的消息交互（发请求-收响应）之后，立刻断开连接（有一方 发送FIN消息 ）的情况都称为短连接 ； 2、长连接的一个明显特征是会有心跳消息

linux下查看负载的主要命令有下面一些： top， uptime，w，vmstat 1、top命令查看linux负载： 第一行解释： top - 11:03:08 up 1 days, 04:01, 3 user, load average: 0.05, 0.05, 0.01 11:03:08：系统当前时间 up 1 days, 04:01：系统开机到现在经过了1天 3 users：当前3用户在线 load average:0.05, 0.05, 0.01：系统1分钟、5分钟、15分钟的CPU负载信息. 备注：load average后面三个数值的含义是最近1分钟、最近5分钟、最近15分钟系统的负载值。这个值的意义是，单位时间段内CPU活动进程数。如果你的机器为单核，那么只要这几个值均<1，代表系统就没有负载压力，如果你的机器为N核，那么必须是这几个值均＜N才可认为系统没有负载压力。 第二行解释： Tasks: 176 total, 1 running, 175 sleeping, 0 stopped, 0 zombie 176 total：当前有176个任务 1 running：1个任务正在运行 175 sleeping：175个进程处于睡眠状态 0 stopped：停止的进程数 0 zombie：僵死的进程数 第三行解释： %Cpu(s): 0.1 us, 0.2 sy, 0

1.查公网ip的方法： windows，打开浏览器，访问百度，搜IP即可 linux：curl ifconfig.me 2.OSI七层模型 ==网络工程师：== 物理层 1层，通信介质的信号到数字信号（二进制0101）转换 数据链接层 2层 局域网之间计算机通信 通过mac地址（物理网卡）通信 网络层 3层 IP地址，路由（通过公网ip来访问全世界） 公网ip 具体的门牌号（唯一） 私网ip 家里的房间号（想对唯一） 传输层 4层 tcp/udp tcp(可靠，速度慢) udp（不可靠，速度快） 端口（让不同的应用程序，同时使用网络） 服务端使用的固定端口号，客户端使用随机端口号（支持多开） 开发工程师： 会话层 5层 控制发包的数据 表示层 6层 文件格式 应用层 7层 应用程序使用 对运维来说，重中之重的协议：tcp协议 3：tcp/ip协议 5层 物理层 数据链接层 网络层 传输层 应用层 一个数据包分成2部分，一个控制层面的数据，一个是应用层面的数据：控制层面只占一小部分，数据层面才占用大部分！ 4：数据封装，解封装，数据传输过程 数据封装与解封装过程 应用层--->>>数据 传输层--->>>tcp报头+数据 网络层--->>>ip包+tcp报头+数据 数据链接层--->>>数据帧+ip包+tcp报头+数据 物理层----->>>将完整的数据包，由二进制转换成电信号

<p>---恢复内容开始---</p>## DHCP DHCP（Dynamic Host Configuration Protocol）是一个用于主机动态获取IP地址的配置解 析，使用UDP报文传送，端口号为 67何68。 DHCP使用了租约的概念，或称为计算机IP地址的有效期。租用时间是不定的，主要取决于用 户在某地连接Internet需要多久，这对于教育行业和其它用户频繁改变的环境是很实用的。通 过较短的租期，DHCP能够在一个计算机比可用IP地址多的环境中动态地重新配置网络。 DHCP支持为计算机分配静态地址，如需要永久性IP地址的Web服务器。 DHCP服务器分配IP的过程： 1.DHCP客户端发送DHCP Discover消息，广播，请求分配IP 2.DHCP 服务器提供DHCP Offer消息，回应，表示可提供IP 3.DHCP客户端发送DHCP Request消息，选定一个服务器，并请求IP租用 4.DHCP服务器发送ACK消息，确认地址租用给客户端 Wireshark分析 Wireshark过滤命令：bootp BOOTP（Bootstrap Protocol，引导程序协议）是一种引导协议，基于IP/UDP协议，也称自举协议，是DHCP协议的前身。BOOTP用于无盘工作站的局域网中，可以让无盘工作站从一个中心[服务器]上获得IP地址。 技巧： 1.采用断开网络再连接

当我们在浏览器中输入URL后，会发生什么？比如 https:// www.baidu.com 我们可以用 curl -v https://www.baidu.com 来研究这个过程，会发现总共有 4个子过程。 1、查找域名对应的IP地址 * Rebuilt URL to: https://www.baidu.com/* Trying 14.215.177.38... 我们可以通过 nslookup www.baidu.com 模拟这个过程 ， dns服务器返回两个IP地址，curl会随机选用其中一个IP服务器进行访问。 2、向IP对应的服务器发送SSL协商请求，进行SSL协商 * Connected to www.baidu.com (14.215.177.38) port 443 (#0) 下图是通过 Wireshark 抓包获取的协商过程。 3、SSL协商完成后，向IP对应服务器发起 GET 请求 > GET / HTTP/1.1 > Host: www.baidu.com > User-Agent: curl/7.54.0 网站会检查是不是真的浏览器访问。需加上 User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.1276.73

这是作者网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您喜欢，一起进步。前文分享了逆向分析OllyDbg动态调试工具的基本用法，包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将继续详细讲解WannaCry蠕虫的传播机制，带领大家详细阅读源代码，分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个月，一方面觉得自己技术菜，另一方面深知系统安全需要坚持，继续加油。希望文章对您有所帮助~ 作者作为网络安全的小白，分享一些自学基础教程给大家，主要是关于安全工具和实践操作的在线笔记，希望您们喜欢。同时，更希望您能与我一起操作和进步，后续将深入学习网络安全和系统安全知识并分享相关实验。总之，希望该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！如果文章对您有帮助，将是我创作的最大动力，点赞、评论、私聊均可，一起加油喔~ 文章目录 一.WannaCry背景 二.WannaCry传播机制源码详解 1.WannaCry蠕虫传播流程 2.程序入口Start 3.域名开关WinMain 4.参数判断sub_408090 5.蠕虫安装流程sub_407F20 6.蠕虫服务传播流程sub_4080000 7.蠕虫初始化操作sub_407B90 8.局域网传播sub_407720 9.公网传播sub_407840 10

一、安装WebSocket取样器 1、从JMeter插件管理器官网下载：https://jmeter-plugins.org/ 把这6个jar包放到C:\JMeter\apache-jmeter-3.3\lib\ext目录下 或者从github上下载：https://github.com/maciejzaleski/JMeter-WebSocketSampler 二、自动安装 下载完成后， JMeter会自动重启。 三、WebSocket取样器 面板介绍： 1、WebServer （1）Server Name or IP：WebSocket发送的目标服务器的地址或者名称 （2）Port Number：WebSocker服务器监听的端口号。（一般是HTTP 80端口，可以通过WireShark数据包得到） 2、Timeout: （1）Connection – 发送一个连接请求后，Jmeter等待连接完成的最长时间，单位是毫秒。 （2）Response - 对响应消息的最大等待时间。 3、WebSocket Request （1）Implementation – 只支持RFC6455(v13) ，WebSocket协议标准的最新版。 （2）Protocol – 有ws与wss之分， ws前缀是WebSocket连接的辨别标识，wss前缀是WebSocket安全连接的辨别标识