tshark 使用小结

文章首发于先知:https://xz.aliyun.com/t/4527 做misc类题,巧妙运用tshark提取数据包数据提取时可以节约大量的时间,最近做到misc类题目,正好学习记录一下 官方文档:https://www.wireshark.org/docs/man-pages/tshark.html 常用操作 -r 提取如wireshark表格中显示的封包摘要信息 -Y 使用filter过滤器 注意:需要加引号否则&&后面语句没用 -T 指出解析时输出的格式 默认text fields (需要增加-e参数) 其他选项 ek|json|jsonraw|pdml|ps|psml|tabs -e 指定一个字段 字段名可以在wireshark表达式里面找,例如usb包的Leftover Capture Data字段 那么就可以用usb capdata提取这个字段 tshark …… >1.txt 将提取结果重定向输出到文本文件里 提取练习: 2018 红帽杯 Not only Wireshark 链接:https://pan.baidu.com/s/1qI1wnVrfdIbpEXvwV0AmAg 提取码:yh5n 过滤http流,发现name参数后面的参数有端倪 利用tshark提取,配合linux的命令 字段名为http.request.uri tshark -r Not\ Only\ Wireshark -Y http -T fields -e http.request.uri 发现有我们需要的url,但是也有不需要的,这时候需要用linux的grep命令进行过滤 Read more…