Suchen Sie den Benutzernamen und das Passwort in der pcap-Datei


7

Ich beende eine Aufgabe, bei der ich eine PCAP-Datei zum Extrahieren von Daten erhalte. Die Frage ist: Finden Sie Benutzername und Passwort in der PCAP-Datei. Das habe ich bisher.

$ tshark -r assign1.pcap -R 'smtp' -2 | awk '{if($9=="334") print $10}' | base64 -d

tshark macht die pcap-Datei lesbar und wählt nur Zeilen aus, in denen das Wort SMTP enthalten ist.

Ich leite diese Informationen dann in awk weiter, awk wählt dann die Zeilen aus, die ich benötige, und leite diese Informationen dann an base64 weiter, um die Felder zu dekodieren.

Die Ausgabe, die ich bekomme, ist

Geben Sie hier die Bildbeschreibung ein

Ich weiß jedoch nicht, wie ich den tatsächlichen Benutzernamen und das Passwort auswählen und dekodieren soll. So sieht die Datei normalerweise aus. Die unterstrichenen Felder sind der Benutzername und die Passwörter, die ich finden und dekodieren muss. Ich muss herausfinden, wie man die in Zeile 6 und Zeile 8 unterstrichenen Felder findet und dekodiert.

Geben Sie hier die Bildbeschreibung ein

HINWEIS: Die pcap-Datei: https://ufile.io/jsfjr

Antworten:


12

Brauchen Sie eine getline. Beispiel

$ tshark -r assign1.pcap -R 'smtp' -2 2>&1 | awk '$9=="334"{print $10;getline;print $9}' | base64 -d && echo
Username:abcPassword:def
$

Referenz

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.