做misc类题，巧妙运用tshark提取数据包数据提取时可以节约大量的时间，最近做到misc类题目，正好学习记录一下

官方文档：https://www.wireshark.org/docs/man-pages/tshark.html

常用操作

-r 提取如wireshark表格中显示的封包摘要信息

-Y 使用filter过滤器

注意：需要加引号否则&&后面语句没用

-T 指出解析时输出的格式 
     默认text 
     fields (需要增加-e参数)
     其他选项 ek|json|jsonraw|pdml|ps|psml|tabs

-e 指定一个字段

字段名可以在wireshark表达式里面找,例如usb包的Leftover Capture Data字段


那么就可以用usb capdata提取这个字段

tshark …… >1.txt

将提取结果重定向输出到文本文件里

提取练习：

2018 红帽杯 Not only Wireshark

链接：https://pan.baidu.com/s/1qI1wnVrfdIbpEXvwV0AmAg
提取码：yh5n

过滤http流，发现name参数后面的参数有端倪

利用tshark提取，配合linux的命令
字段名为http.request.uri

tshark -r Not\ Only\ Wireshark -Y http -T fields -e http.request.uri

发现有我们需要的url，但是也有不需要的，这时候需要用linux的grep命令进行过滤

tshark -r Not\ Only\ Wireshark -Y http -T fields -e http.request.uri | grep "/sqli/example2.php?name="

再用awk命令提取name=后面的值，再用tr删掉换行符，使得输出成一行

tshark -r Not\ Only\ Wireshark.pcapng -Y http -T fields -e http.request.uri | grep "/sqli/example2.php?name="| awk -F '=' '{print $2}'|tr -d "\n"

2017厦门邀请赛 traffic

链接：https://pan.baidu.com/s/1s_zcwzUM_86mpVTT75PRpw
提取码：6jul

比较难以捉摸,直接说步骤,要先发现开始icmp包中大量充斥的a字符串及heiheiehei!的提示

然后提取icmp data字段的长度值

字段名查询到是Frame.len

提取命令：

tshark -r 2.pcapng -Y "icmp "-T fields -e frame.len | tr "\n" ","