Forum général.général ethereal, trouver une chaine de caractère...

Posté par  (site web personnel) .
Étiquettes : aucune
0
6
sept.
2006
Bonjour :)

je suis en train de chercher comment OCSInventory fait ses recherches via un script php multicritere.php.

Je n'ai pas trouvé de solution simple (doc/net/commmentaires code) donc j'essaye avec ethereal.

J'ai capturé les paquets au moment ou je demandais de m'afficher les machines ayant un certain nom.

Mais voila... j'ai bien le paquet et tout et tout... mais comment qu'on fait (la bonne requete ethereal) pour trouver la commande/variables qu'il envoie au serveur ?

Voilou. A bientot.

  • # pas tres clair

    Posté par  . Évalué à 1.

    koukou,

    J'avoue que ton message est pas superclair, mais essayons de t'aider.

    Tu as une machine A qui communique avec un serveur X.
    Tu cherches à savoir ce qu'il y a dans les paquets que A envoit lorsqu'il
    fait une requete à une page web "php" sur X.

    Bon, Ethereal (et en passant : c'est maintenant Wireshark) peut t'aider.

    Tu ecoutes ce qui se passe sur le lien ethernet sortant (genre eth0).
    Ca va etre assez bavard car il se passe surement beaucoup de chose.

    Il faut mettre des filtres :
    Click sur une ligne : APPLY AS A FILTER -> AND NOT SELECTED.
    La faut bien choisir ce que tu veux ignorer (IP src, IP dst, protocol, etc).

    Ferme tout ce qui est inutile et qui creer du traffic IP (chat, Gaim, surfe, etc) afin
    de reduire le traffic.

    Ensuite fait une requete vers X. Tu devrais voir passer ce qui se dit entre les deux machines. Apres, ben faut apprendre à se servir de Wireshark. Je te conseille
    la lecture du livre :
    http://www.wireshark.org/download/docs/user-guide-a4.pdf

    Apres si tu as des questions specifiques, on pourra t'aider.

    K.

    • [^] # Re: pas tres clair

      Posté par  (site web personnel) . Évalué à 2.

      En fait, tout cela je l'avais déjà fait.

      J'ai déjà mon fichier verbeux (effectivement ; ) ) de capture. Maintenant, il reste à exploiter le résultat. Et j'avoue que je me perds dans les filtres à appliquer. C'est surtout ca.

      Quels filtres sont pertinents pour retrouver une chaine de caractere... qui contient "php"

      voili. Merci.

      • [^] # Re: pas tres clair

        Posté par  . Évalué à 1.

        Pour repondre a ta question:
        Les requetes HTML, donc sur le port 80 (si c'est par default).

        Met l'affichage en 3 fenetres:
        - liste des requetes
        - description / champs
        - contenu


        Si tu met la colorisation , tu y verras deja plus clair. Et sauve le resultat dans un fichier pcap, comme cela tu pourras le relire apres.

        Deroule les requetes, jusqu'a avoir une HTTP.

        au pire tu peux essayer dans la zone de filtre :
        ip.dst=000.000.000.000 => IP du serveur web
        un ping devrait te la donner.

        Le click de droite c'est quand meme mieux, mais c'est en anglais !

        click sur une requete
        la fenetre du dessous te montre les champs. Soit curieux et deroule les. Tu as des ip.source, ip dest, port src, port dst, protocol, UDP, TCP etc.

        Un click de droite -> AND not selected, et zou ce que tu as selectionner disparait. L'inverse fonctionne aussi AND selected.

        K.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.