如何通过 wireshark 捕获 C# 上传的图片

形右实左

一：背景

1. 讲故事

这些天计划好好研究下tcp/ip，以及socket套接字，毕竟工控中设计到各种交互协议，如果只是模模糊糊的了解，对分析此类dump还是非常不利的，而研究协议最好的入手点就是用抓包工具 wireshark，废话不多说，这篇通过 wireshark 提取一个小图片作为入手。
二：wireshark 图片抓包

1. 捕获图片

为了方便演示，我们就用最简单的 http 上传图片的方式，客户端代码如下：

1. <form method="post" action="/Home/Upload" enctype="multipart/form-data">
2.     <input type="file" name="file" />
3.     <button type="submit">Upload</button>
4. </form>

复制代码

接下来是server端代码，用 chatgpt 吐出来的代码做了一点简单修改。

1.     public class HomeController : Controller
2.     {
3.         private readonly ILogger<HomeController> _logger;
4.         private readonly IWebHostEnvironment _env;
6.         public HomeController(IWebHostEnvironment env)
7.         {
8.             _env = env;
9.         }
11.         [HttpPost]
12.         public async Task<IActionResult> Upload(IFormFile file)
13.         {
14.             if (file == null || file.Length == 0)
15.             {
16.                 return BadRequest("Please select a file to upload.");
17.             }
19.             // 生成唯一的文件名
20.             var fileName = Guid.NewGuid().ToString() + Path.GetExtension(file.FileName);
22.             // 拼接文件保存路径
23.             var filePath = Path.Combine(_env.WebRootPath, "uploads", fileName);
25.             // 保存文件到磁盘
26.             using (var stream = new FileStream(filePath, FileMode.Create))
27.             {
28.                 await file.CopyToAsync(stream);
29.             }
31.             return Ok("File uploaded successfully.");
32.         }
33.     }

复制代码

接下来将 asp.net core 部署在虚拟机上，修改端口为80，appsettings.json 修改如下：

1. {
2.   "Logging": {
3.     "LogLevel": {
4.       "Default": "Information",
5.       "Microsoft.AspNetCore": "Warning"
6.     }
7.   },
8.   "Kestrel": {
9.     "Endpoints": {
10.       "Http": {
11.         "Url": "http://0.0.0.0:80"
12.       }
13.     }
14.   }
15. }

复制代码

运行之后，一切正常，截图如下：

2. wireshark 捕获

这里我们将 wireshark 部署在 server (192.168.25.133)端，不过在开启之前有两点要注意：

• 寻找到你需要采集流量包的网卡，比如我这里的 Ethernet0
  
• 设置一个捕获过滤器，这样就不会把你的 wireshark 采集界面给卡死。
  

参考截图如下：

启动捕获后，在首页开始上传一个 1M左右的图片，在 wireshark 中可以看到这 1M 的图片被切割成了 791 个 tcp segment 发送。

接下来在 上图中的 Http 请求上点击右键，选择 Follow -> TCP Stream ，会自动打开本次 http 传输的全部内容，接下来记得做下面三个选择：

• 选择正确的数据包流向
  
• 数据格式为原始的Raw格式
  
• Save as 保存到本地
  

详情截图如下：

根据 http 上传图片的格式，把内容中换行符之前和之后的二进制都去掉，而这个换行符的二进制表示为 0D0A，接下来打开 winhex，删掉 0D0A 之前和之后的所有多余字符。截图如下：

• 之前
  

• 之后
  

如果大家有点懵，可以观察一个正确的 PNG 在 WinHex 上的表现，选中多余的二进制之后做一个 delete 操作，然后重命名为 test.png，截图如下：

哈哈，一张图片映入眼帘，打完收工！
三：总结

wireshark 还是非常强大有意思的，相比呈现工具更多的还是需要对协议的理解，希望能对dump分析提供一些原料动力！

来源:https://www.cnblogs.com/huangxincheng/archive/2023/11/16/17836202.html
免责声明：由于采集信息均来自互联网，如果侵犯了您的权益，请联系我们【E-Mail:cb@itdo.tech】 我们会及时删除侵权内容，谢谢合作！