와이어샤크(Wireshark) 파일시그니처의 활용

실습1 . 패킷에서 계정정보 찾기

http프로토콜의 Method

GET : header만 사용해서 페이지 요청 또는 검색

POST : body에 요청사항을 넣어서 전송, 로그인, 게시판 글쓰기 그리고 파일 업로드 시 활용

1. Edit>find Packet display Filter string 'POST'입력, HTML Form URL Encoded (중단에서 제일 밑에), 
2. 디스플레이 필터에서 'http.request.method == POST' 검색
3. 'frame contains password' => 정확히 일치되는 것을 찾는다.(대소문자 구분)
4. 'frame matches password' => 비슷한것도 찾는다.(대소문자 구분X)

32 2020-07-21 11:52:06.346464 192.168.5.128 192.168.5.129 HTTP 620 POST /dvwa/login.php HTTP/1.1 (application/x-www-form-urlencoded)

 

실습2. 다운받은 파일 찾기

접근 : FTP-DATA 패킷 선택, Follow >> TCP Stream / FTP-DATA 에서 ASCII를 Raw로 save as jpg해서 사진 다운 가능

 

FRP-DATA프로토콜을 통해 jpg 파일을 다운확인

실습3. 불특정 파일 식별하기

 

파일의 시그니처 이용

파일형식	시작 (Hex)	끝 (Hex)
jpg	ÿØÿà (FF D8 FF E0)	ÿÙ(FF D9)
ZIP, docx, pptx, xlsx, apk	PK(50 4B 03 04)
pdf	%PDF-1.5(25 50 44 46)

 

PDF의 시그니처 (이전 문자들을 모두 지우면 PDF파일로 열어 내용 확인이 가능하다.)

 

메일 내용 파악 시 ASCII 코드 이용가능  (출처 - https://m.blog.naver.com/isaac7263/221315806206)