type
status
date
slug
summary
tags
category
icon
password
使用 Wireshark 抓包并通过 WinHex 恢复 FTP 下载的文件的具体操作步骤如下:
1. 使用 Wireshark 抓包
1.1. 启动 Wireshark
- 打开 Wireshark。
- 选择正确的网络接口(一般是连接 FTP 服务器的网卡)。
- 配置捕获过滤器,输入:
- 这是为了捕获 FTP 控制连接和数据连接的流量。
1.2. 开始抓包
- 点击 “Start” 开始捕获。
- 在 FTP 客户端中执行文件下载操作(通过 RETR 命令下载文件)。
- 文件下载完成后,回到 Wireshark 并点击 “Stop” 停止抓包。
2. 分析并提取 FTP 数据包
2.1. 定位文件传输的 TCP 会话
- 在 Wireshark 的过滤器中输入:
- 示例:
RETR example.txt - 记录此时的 服务器 IP 和 数据端口号(通常是 TCP 动态端口)。
查看 FTP 的控制流量,找到
RETR 命令及其对应的文件名。- 在过滤器中输入以下命令,定位文件的实际传输数据:
- 替换
<FTP服务器IP>和<数据端口>为实际值。
2.2. 提取数据流
- 右键点击任意一个数据包,选择 “Follow” > “TCP Stream”。
- 在弹出的窗口中,选择:
- "Show data as Raw"(以二进制数据显示)。
- 点击 “Save as” 保存为文件,文件名为
ftp_raw_data.bin。
3. 使用 WinHex 恢复文件
3.1. 打开 WinHex
- 启动 WinHex 软件。
- 通过 "File" > "Open" 打开刚刚保存的
ftp_raw_data.bin文件。
3.2. 分析文件数据
- 查找文件头:
- 使用 WinHex 的文件头签名功能查找文件类型的特征。常见文件头:
- JPEG:
FF D8 FF - PNG:
89 50 4E 47 - TXT: 无文件头,可直接读取。
- 如果文件头不明确,可通过 ASCII 窗口查看文本提示(例如文件名或其他元信息)。
- 裁剪文件数据:
- 找到文件头后,记下偏移量(Offset)。
- 如果文件尾有特定签名(如
IEND对于 PNG),找到文件结束偏移量。 - 选择 "Edit" > "Define Block",定义要裁剪的数据块范围。
3.3. 保存恢复的文件
- 选择定义好的数据块,点击 "Edit" > "Copy Block" > "Into New File"。
- 保存为适当的文件名和扩展名(如
example.png或example.txt)。
- 打开文件,验证是否可以正常使用。
4. 注意事项
- 数据流量完整性:
- 如果抓包时丢失了某些数据包,恢复的文件可能损坏或不完整。
- 可通过 Wireshark 的统计工具检查丢包情况。
- 二进制文件:
- 对于二进制文件,确保文件头和尾部数据完整。如果文件无法打开,可尝试手动修复文件头。
- 分段问题:
- 如果 TCP 数据包过多或分段明显,WinHex 提取前应先用工具如
reassemble-tcp-stream重组流。
通过这些步骤,可以精确地从抓包中提取并恢复 FTP 传输的文件。
5.向ftp上传文件,利用wireshark抓包并恢复文件
5.1 打开wireshark软件准备抓包
5.2 上传文件至ftp服务器
我们可以自己准备一个test.rar文件上传ftp服务器
5.3 筛选
输入筛选条件:
ftp
5.4 追踪流
5.5 选择原始数据
5.6 另存文件
5.7 winhex打开bin文件
根据文件头和文件为选择文件----编辑----复制块至新文件
常见文件类型的文件头和文件尾汇总表格:
文件类型 | 扩展名 | 文件头(Hex) | 文件尾(Hex) | 说明 |
文本文件 | .txt | 无特定文件头 | 无特定文件尾 | 普通文本文件,无特殊格式 |
PDF 文件 | .pdf | %PDF-1.x | %%EOF | Adobe PDF 文件格式 |
JPEG 文件 | .jpg, .jpeg | FF D8 FF E0 | FF D9 | 图片格式,JPEG 文件 |
PNG 文件 | .png | 89 50 4E 47 0D 0A 1A 0A | 49 45 4E 44 AE 42 60 82 | PNG 图片文件格式 |
GIF 文件 | .gif | GIF87a 或 GIF89a | 3B | 图像交换格式,支持动画的文件 |
ZIP 文件 | .zip | 50 4B 03 04 | 50 4B 05 06 | 压缩文件格式,支持文件夹和文件压缩 |
Word 文件 | .doc | D0 CF 11 E0 A1 B1 1A E1 | 无特定文件尾 | Microsoft Word 97-2003 文件格式 |
Word 文件 | .docx | 50 4B 03 04 | 无特定文件尾 | Microsoft Word 2007+ 文件格式(基于 ZIP) |
Excel 文件 | .xls | D0 CF 11 E0 A1 B1 1A E1 | 无特定文件尾 | Microsoft Excel 97-2003 文件格式 |
Excel 文件 | .xlsx | 50 4B 03 04 | 无特定文件尾 | Microsoft Excel 2007+ 文件格式(基于 ZIP) |
MP3 文件 | .mp3 | 49 44 33 | 无特定文件尾 | 音频文件格式,常见的音乐文件格式 |
AVI 文件 | .avi | 52 49 46 46 xx xx xx xx 41 56 49 20 | 64 61 74 61 | 视频文件格式,常见的多媒体格式 |
ISO 镜像文件 | .iso | 43 44 30 30 31 | 无特定文件尾 | 光盘镜像文件格式 |
RAR 文件 | .rar | 52 41 52 21 | 无特定文件尾 | 压缩文件格式,支持文件夹和文件压缩 |
6. 抓取html数据相对而言可以简单一些
6.1 随便上个网站 http访问
6.2 抓取并筛选数据
筛选条件
6.3找到对应记录
6.4 右键Line-based text data———导出分组字节流
6.5 在对话框里写入文件名及文件类型
6.6 打开test.html文件,就会看到具体内容了
至此,抓取的数据被恢复成html文件了。
- Author:Gweek
- URL:https://www.myla.eu.org/article/wlaq-zbbhf
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!