wireshark抓取使用者名稱和密碼

2023-04-06 19:50:46

一.什麼是Wireshark?

Wireshark是一個網路封包分析軟體。網路封包分析軟體的功能是擷取網路封包，並儘可能顯示出最為詳細的網路封包資料。Wireshark使用WinPCAP作為介面，直接與網絡卡進行資料包文交換。在過去，網路封包分析軟體是非常昂貴的，或是專門屬於盈利用的軟體。Ethereal的出現改變了這一切。在GNUGPL通用許可證的保障範圍底下，使用者可以以免費的代價取得軟體與其原始碼，並擁有針對其原始碼修改及客製化的權利。Ethereal是目前全世界最廣泛的網路封包分析軟體之一。

Wireshark是目前全球使用最廣泛的開源抓包軟體，其前身為Ethereal，是一個通用的網路資料嗅探器和協議分析器，由Gerald Combs編寫並於1998年以GPL開源許可證釋出。如果是網路工程師，可以通過Wireshark對網路進行故障定位和排錯；如果安全工程師，可以通過Wireshark對網路黑客滲透攻擊進行快速定位並找出攻擊源；如果是測試或軟體工程師，可以通過Wireshark分析底層通訊機制等。

Wireshark包括以下基本功能：

分析網路底層協議

解決網路故障問題

尋找網路安全問題

網路流量真實檢測

黑客攻擊

那麼，我們在哪裡下載該軟體呢？在前文安裝的Kali環境中，它已經自帶了Wireshark工具，而Windows系統下，可以在其官網進行下載，作者也將其上傳至百度雲。

https://www.wireshark.org/

https://www.wireshark.org/download.html

相關類似的軟體：Sniffer、Fiddler、Omnipeek、Httpwatch、科來網路分析系統等。

二.Wireshark安裝

該軟體安裝非常簡單，如下所示。

第一步：直接執行EXE，點選下一步即可。

第二步：選擇相關的選項，Wireshark是它的主程式，TShark是協議器，Plugins&Extensions是基本的外掛，Tools是基本的工具包，User’s Guide是幫助文件。

第三步：預設選擇即可。

第四步：選擇安裝路徑，建議大家儘量安裝在純英文路徑下。

安裝完成。

三.Wireshark抓取網站使用者名稱和密碼

下面通過一個簡單的示例講解Wireshark抓包的基本用法，執行軟體如下圖所示。

第一步：選擇目標網站（
http://www.xxxxx.org/Login.aspx），並獲取其IP地址，可以採用Ping命令實現。這裡採用站長之家（
http://ip.tool.chinaz.com/）獲取，其IP地址為：124.114.152.116 。

第二步：開啟wireshark軟體，選擇網絡卡後，啟動軟體抓包功能。（也可以在設定選項）

第三步：啟動Wireshark軟體，顯示如下圖所示。

第四步：開啟目標網站並重新整理，輸入使用者名稱和密碼登入。

第五步：登入成功之後停止抓包，並使用下面的過濾器獲取HTTP協議且與該IP地址相關的資訊。http and ip.addr==124.114.152.116

第六步：通過分析HTML登入方式，發現它是POST方式（很常見，GET方式的連結有引數），下面這兩個是登入頁面。

第七步：點選該POST且包含login的登入頁面，點選最後一行“HTML Form URL Encoded：
application/x-www-form-urlencoded”，獲取如下圖所示的使用者名稱和密碼。如果密碼被MD5加密，可以尋找線上網站進行解密。

Form item: “username” = “yangxiuzhang”

Form item: “password” = "xxxxxxxx"

講到這裡，我們通過Wireshark成功獲取了自己登入賬號和密碼。同樣，可以嘗試抓取其他小夥伴的賬號和密碼，因為你們在同一個wifi下。通過獲取目標網站的IP地址，就能擷取資料包實現該功能。所以，大家在外儘量不要使用開放的wifi。

第八步：如果不設定HTTP協議，可以顯示所有寫一下的資料包，如下圖所示。

第九步：最後補充其他的過濾器，比如獲取表單提交的POST請求（GET請求URL有引數），我們可以使用下面程式碼獲取。http.request.method==POST

過濾表示式的規則：

1.協議過濾比如TCP，只顯示TCP協議。 2.IP過濾 ip.src==192.168.1.102 顯示源地址為192.168.1.102 ip.dst==192.168.1.102 目標地址為192.168.1.102 3.埠過濾 tcp.port ==80 埠為80的 tcp.srcport == 80 只顯示TCP協議的原埠為80 4.Http模式過濾 http.request.method=="GET" 只顯示HTTP GET方法 5.邏輯運算子為AND / OR

第十步：過濾規則是可以組合的，如下圖所示。
http.request.method==“POST” and http and ip.addr==124.114.152.116

四.總結

Wireshark和網路協議息息相關，涉及協議：HTTP、FTP、Telnet、網路協議TCP/IP協議棧、路由協議（RIP/EIGRP/OSPF/ISIS/BGP）、交換協議（TRUNK/VTP/STP/HSRP），如下圖所示，後面的文章將結合抓包原理進行更詳細講解。

自己網路安全方向的基礎非常薄弱，有太多實踐知識想學，太多學術論文想看，每天都在忙碌，過程非常艱辛，哪有這麼好畢業。但是這種苦中帶甜，充實的滋味又讓我陶醉，還有遠方的女神、許多朋友和博友的陪伴。

天行健，君子以自強不息。

地勢坤，君子以厚德載物。

最後希望基礎性文章對您有所幫助，作者也是這個領域的菜鳥一枚，希望與您共同進步，共勉。