記錄一次e-mail的抓包|分析|解包的過程(上)
最近一直在學習抓包解包,給大家分享一次e-mail的抓包解包的過程,共同學習 如有大神路過,請指點不足之處,多謝!
使用的是foxmail給自己傳送一張附件,原圖如下:
傳送前使用wireshark捕獲資料報,下圖中是tcp三次握手,畢竟smtp是建立在tcp的基礎上的
首先分析一下smtp傳送郵件的詳細過程 ,輸入過濾條件"smtp"
下面是對具體資料報的講解分析: 第54號資料報是客戶端向伺服器端傳送的ehlo指令,向伺服器表明自己的身份,在資訊中可以看到客戶端計算機的名字;接下來的第58號資料報是客戶端向伺服器端傳送的auth login指令,請求登陸認證;接下來的第61號資料報中是經過加密登陸使用者名稱,smtp是不接收明文的,必須是通過64位的編碼之後才能傳送,採用的是base64的加密形式;第63號資料報中是經過加密後密碼;第68號資料報表示郵箱登陸成功;第69號資料報中是傳送郵件的賬戶,第73號資料報中是接受郵件的賬戶;第75號是資料報中是客戶端傳送的內容;接下來第76號資料報可以看出伺服器端使用了接受了文字的內容,因為smtp是屬於請求應答的模式,都是基於ascii文字,並且以cr(回車)lf(換行)作為結束符;第77~127號資料報就是所傳送的資料,由於這個郵件資料比較多,因此分多個資料報進行傳送;接下來的第129號資料報是傳送郵件的賬戶和主題等等的資訊
到此smtp資料報已經分析完了,下次再對資料中的進行還原,未完待續...
記一次 tcpdump 抓包分析,Dup Ack
起因是 docker pull 映象時有時卡住,然而 registry 一切正常,無奈只好一試抓包。tcpdump n i en0 host 10.116.58.41 w pull.pcap 引數說明 n 不轉換 ip 位址為 hostname i 網絡卡 host 過濾條件,抓符合 host 位址...
一次抓包post經歷
最近使用疫情自查上報系統,在每天進行學生資訊收集時,突然想到,能否不通過瀏覽器修改多天資料 通過用瀏覽器登入 再用抓包軟體抓取資料報,發現資料修改經過倆步。先是建立連線,然後提交資料。最後發現只要重新post不同資料就能修改。先對抓取的資料進行url解碼,再修改自己的資料,再url編碼,重新用之前抓...
記一次 Hook 與 抓包
用了 sslkiller 也沒有報網路錯誤 日誌中暴露了關鍵字 利用朋友提供的 日誌中暴露的關鍵字定位到網路請求的位置,發現cz.msebera.android.httpclient 谷歌發現好像是對android async http的一種封裝 不管它是什麼吧,走進去發現會 new 了乙個com....