使用了python的scapy库,能够将本机电脑浏览的http协议的图片下载下来,此下载是在tcp协议这一层级进行的
from scapy.all import *
import time
import os
img_list = {} # 字典,键为ack值详细信息的字典{后缀,tcp流总长度,ip地址,目前在累加中的tcp流的长度}
bytes_list = {} # 字典,键为ack值为二进制数据
def process_packet(pkt):
# 下面的代码主要是在拼接二进制的tcp流
if pkt.haslayer(Raw):
load = pkt.load
ack = pkt.ack
# 判断http返回类型是否为图片类型(即tcp流的第一个包)
if 'Content-Type: image' in str(load):
# 通过正则来匹配图片后缀
suffix = re.search('image/(.*?)\\\\r', str(load)).groups()[0]
# 通过正则来匹配数据总长度(为了后面进行比对tcp流是否完整)
length = int(re.search('Content-Length: (.*?)\\\\r', str(load)).groups()[0])
# 局域网内发送人的IP
ip = pkt['IP'].dst
# http返回值包中也包含tcp数据(其是第一个tcp包),但是也包含头信息,下面就是截取头信息后面的内容(\x0d\x0a\x0d\x0a=\r\n\r\n,这些内容之后的二进制都是数据)
img_load = load[load.find(b'\x0d\x0a\x0d\x0a') + 4:]
# 将内容存入到字典当中去,ack为键,新的字典为值
img_list[ack] = {"suffix": suffix, "full_length": length, "ip": ip, "present_length": len(img_load)}
bytes_list[ack] = img_load
# 该判断是后续的tcp信息,对其进行拼接,并且判断tcp流是否完整
elif ack in list(img_list.keys()):
# 对tcp流进行拼接并且统计长度
bytes_list[ack] = bytes_list[ack] + load
img_list[ack]["present_length"] = img_list[ack]["present_length"] + len(load)
# tcp流完整后进行下载
if img_list[ack]["full_length"] == img_list[ack]["present_length"]:
print("ok")
now_time = time.strftime('%Y年%m月%d日%H时%M分%S秒', time.localtime())
if os.path.exists(img_list[ack]["ip"]):
os.chdir(img_list[ack]["ip"])
with open(f'{now_time}{random.randint(1, 1000)}.{img_list[ack]["suffix"]}', 'wb') as f:
f.write(bytes_list[ack])
os.chdir("../")
else:
os.mkdir(img_list[ack]["ip"])
os.chdir(img_list[ack]["ip"])
with open(f'{now_time}{random.randint(1, 1000)}.{img_list[ack]["suffix"]}', 'wb') as f:
f.write(bytes_list[ack])
os.chdir("../")
sniff(prn=process_packet, filter="tcp port 80", store=False)
| 
发表于 2023-2-22 17:13
