MENU

使用wireshark抓包制作zmap探针(raw数据)

之前制作zmap的memcache的探针的时候就知道了zmap的探针就是原始数据包,今天构造另一个包的时候差点忘记怎么导出原始数据了,赶快水一篇博文保存一下.

修正2018-08-21

过了这么长时间,我才发现文章写错了,保存的时候应该选择原始数据而不是hex转储存

环境和工具

windows10和应用商店里的ubuntu
wireshark
ultraedit
一个大脑
memcache服务器(非必需,可以省略,文中的memcache服务器是之前扫到的)

正篇

已memcache为例,memcache服务器监听11211端口,通过其相关文档和之前cloudflare发的博文可以得知使用\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n可以获取memcache服务器的状态,通过netcat检测的命令为:echo -en "\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -q1 -u 121.40.61.35 11211,于是wireshark监听本机网卡,然后在windows10的ubuntu中运行此命令即可对目标memcache服务器发送获取状态的指令,如果正确目标服务器会返回其状态信息.

那么,打开wireshark选择你的网卡,开始追踪
在过滤条件内输入udp.port == 11211抓端口为11211的udp包
image

然后打开windows10中的ubuntu
执行echo -en "\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -q1 -u 121.40.61.35 11211
接着你的wireshark出现了一个符合条件的数据包,这时就可以点停止抓包了

image

然后数据包右键->追踪流->udp流
image

接下来的事情就很简单了,选择本机发送给目标的数据包,'显示和保存数据'设置成原始数据,然后保存

image
image

然后用ultraedit打开即可看到保存的zmap探针(raw数据)
image

添加新评论

已有 9 条评论
  1. 嗯,哇。然后,唔。。。算了睡觉

  2. 文艺的居若 文艺的居若

    弱弱的问一下兄弟多大啦,一起约饭认识下~

    1. @文艺的居若约完就得有警车追我

  3. 文艺的居若 文艺的居若

    一直没怎么接触网络方面,学习一下~

  4. jack jack

    大佬过滤的脚本可否分享?

    1. @jack网上找下php的ssdp脚本,我的大多数过滤都是根据那个改的

    2. jack jack

      @shirakun我找到了你发布的。根据ssdp改的,但是过滤之后只能放大到80倍左右,放大脚本也是你修改后的,是不是过滤时候参数没有设置正确,应该要2000的回包参数?

  5. 围观好久好久没更新的女♂装大佬ヾ(≧∇≦*)ゝ

    1. @yiveco然而我是个死肥宅