Bugku流量分析题目总结
0x01 flag被盗
- 题目链接:https://ctf.bugku.com/files/e0b57d15b3f8e6190e72987177da1ffd/key.pcapng
- 解题思路:
这个题目是比较基本的流量分析题,拿到数据包后,查看几个数据比较大的可疑数据,追踪TCP流即可拿到flag
- flag:flag{This_is_a_f10g}
0x02 中国菜刀
- 题目链接:https://ctf.bugku.com/files/047cefd48389dfc5bdc055d348bbf520/caidao.zip
- 解题思路:
拿到数据包后,追踪一下TCP流,发现了一个flag.tar.gz的压缩文件。
把数据包放进kali里面用binwalk分析一下,发现确实存在这个压缩文件。然后使用binwalk将压缩包分离。
然后解压压缩包,解压后发现一个flag.txt的文件,打开就可以拿到flag
- flag:key{8769fe393f2b998fa6a11afe2bfcd65e}
0x03 这么多数据包
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-riURr9Ju-1573367879998)(https://i.loli.net/2019/11/10/TxK64shmX5dqJjC.png)]
- 题目链接:https://ctf.bugku.com/files/425d97c3a1a2fa32dcead0ddd90467c0/CTF.pcapng.zip
- 解题思路:
根据提示是先找到getshell的流 ,那么不难联想到,在getshell后会执行一些命令,但是鉴于Windows和linux下命令不同,先查看目标主机的系统版本信息,仔细查看数据包后,发现是Windows系统。
Windows下常用命令
systeminfo
whoami
netstat -ano
dir
…
然后利用wireshark的显示过滤器查看数据包
tcp contains "dir"
发现在查找dir的时候有流量,应该是执行过dir命令,然后跟踪tcp流
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oTsMDZkA-1573367879999)(https://i.loli.net/2019/11/10/xJEk8uKQD6LS9mY.png)]
然后发现了攻击者通过type命令新建了一个txt文件,并且文件的内容是一串base64加密过的字符串
解密后拿到flag
- flag:CCTF{do_you_like_sniffer}
0x04 手机热点
- 题目链接:https://ctf.bugku.com/files/e0cf5af2997acd5ff12bc70f5caddb5f/Blatand_1.pcapng
- 解题思路:
拿到数据包之后对这个数据包的名字有点好奇,于是去搜了一下,发现这是一个丹麦国王的名字…
但是又联想到题目,手机热点传文件,于是推测使用蓝牙进行文件传输,蓝牙使用的是obex协议,通过wireshark过滤一下,查看数据包。发现上传了一个secret.rar文件,以及一张jpg图片文件 ,于是推测上传了一个压缩包和一张图片,或者是上传了一张压缩了的图片。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-N3x7ksVH-1573367880002)(https://i.loli.net/2019/11/10/dfBQUkTvWsXNAuP.png)]
然后将压缩文件导出
解压后发现一张图片,打开图片即可拿到flag
- flag:SYC{this_is_bluetooth}
0x05 抓到一只苍蝇
- 题目链接:https://ctf.bugku.com/files/58ae08bbd739136e19ff6138e49ae643/misc_fly.pcapng
- 解题思路:
打开数据包后,追踪一下TCP流,发现存在一个fly.rar的压缩文件,大小为525701字节
尝试使用binwalk分析并分离,结果得到了几个压缩包,使用winhex分析后并没有发现什么有价值的信息。
然后回到数据包继续进行分析,在wireshark的分组字节流中尝试搜索了一下flag,结果发现了一个flag.txt的文本文件,这个时候又联想到刚刚追踪TCP流的时候发现好像是有跟qq邮箱有关系的流量,分析内容可以推测在使用qq邮箱传文件,使用包过滤语句
http.request.method==POST
看到192.168.1.101向59.37.116.102发送了5个连续的文件包(按时间排序)
将这5个文件导出然后进行合并,由于TCP包有文件头,我们需要计算一下文件头的大小。
这5个文件的大小分别为131436*4+1777,总大小为527571,但是刚才我们拿到数据包时看到的文件大小为525701,于是文件头的大小为527571-525701=1820,1820/5=364.
将文件导出后使用kali linux的dd命令将文件头去掉,以便进行合并。
dd if=文件名 bs=1 skip=364 of=要保存的文件名
然后将11 22 33 44 55这5个文件使用Windows下的copy命令进行合并。
copy /B 11+22+33+44+55 fly.rar
合并得到的压缩包报错,用winhex查看得知是进行了伪加密,解密后将压缩文件解压,得到flag.txt文件。
打开flag.txt文件时一堆乱码,但是在乱码中发现了Win32的标志,说明这是一个win32可执行程序,改后缀为exe,然后执行。执行后发现满屏幕的苍蝇…
使用winhex打开flag.exe发现了png字符,于是猜测里面还有其他的东西。使用foremost分离,得到了很多图片。
最后一张图片是一个二维码,扫描二维码拿到flag。
- flag:flag{m1Sc_oxO2_Fly}
0x06 weblogic
题目链接:https://ctf.bugku.com/files/d0efc1322758fceb5cab0bb66af860e0/weblogic.pcap
解题思路:
根据已知条件,flag为主机名,并且主机名为十六进制。直接在数据包中搜索hostname,发现了两个存在这个字符串的数据包,分别追踪TCP流,在数据流中搜索hostname,即可看到主机名。
- flag:flag{6ad4c5a09043}
0x07 信息提取
题目链接:https://ctf.bugku.com/files/0ce4f7d4beb6cc82f37a8fda2c70b713/sqlmap.pcap
解题思路:
打开数据包后,发现只有http和tcp的包,过滤一下http包,只显示http内容。
粗略的看一下,结合题目的提示“sqlmap用过吗”,可以看出这是一个布尔盲注的过程,从sql注入检测,猜解数据库,表名…
一位一位的猜取flag,然后用二分法判断其ascii码的范围并最终确定这一位的值。
如果语句正确会有回显,回显内容为:The quick brown fox jumps over the lazy dog
以第一个字符为例,可以看到第一个字符判断的时候,先判断其是否大于64,后面又判断了是否大于96,说明这个字符肯定大于64,所以此时作比较的ascii码增加64的二分之一,即96,接着向下看,作比较的ascii码变成了80,说明这个字符小于96,所以大于64又小于96,继续向下分32的二分之一,即80,在接着向下看,作比较的ascii码变为了72,说明这个字符依然小于80,继续向下分16的二分之一,即72,继续向下看,作比较的ascii码变为了76,说明这个ascii码大于72,所以向上分8的二分之一,即76,继续向下看,作比较的ascii码变为了74,说明这个ascii码小于76,所以向下分4的二分之一,即74,继续向下看,作比较的ascii码变成了73,且下一个包变为了64,说明已经判断结束,因此大于72又不大于73,这个ascii码为73,对应的字符为I。这就是二分法。
以此类推,可以获得flag。
- flag:ISG{BLind_SQl_InJEcTi0N_DeTEcTEd}
0x08 特殊后门
题目链接:https://ctf.bugku.com/files/ee89c5bb3fd5b44862f7ef40cd88fe4a/backdoor.zip
解题思路:
拿到数据包查看,意思大概是通过icmp协议传递数据,在数据包中搜索一下flag,发现了一个flag is here的字符串,紧接着是一系列的icmp包,逐一查看发现每一个包里面有一个字符,拼接起来即为flag
- flag:flag{Icmp_backdoor_can_transfer-some_infomation}
Bugku流量分析题目总结相关推荐
- bugku数据包流量分析题目总结
因为内容有点多,文章还没写完,请谅解,后期会将内容更新补全 文章目录 1.flag被盗 2.中国菜刀 3.这么多数据包 4.手机热点 1.flag被盗 提示:flag被盗,赶紧溯源! 下载数据 ...
- 流量分析题目(流量检索,数据提取,数据重组,伪加密,图片提取)
流量检索: 将数据包加入科来进行分析,当然wireshark也可以,但是科来的数据可视化做的比较好. 找到了一个比较大的数据包,打开看看... 数据提取: 搜索关键字flag...果然在这里,使用wi ...
- 中职网络安全2021年国赛Wireshark流量分析题目解析
1.使用Wireshark查看并分析靶机桌面下的capture.pcapng数据包文件,找到黑客的IP地址,并将黑客的IP地址作为Flag值(如:172.16.1.1)提交: 这个找黑客ip地址不用多 ...
- 2021年中国工业互联网安全大赛核能行业赛道writeup之usb流量分析
目录 一.USB协议 二.键盘流量 三.鼠标流量 四.writeup 附件题:usb流量分析 题目描述: 具体描述忘记了o(╯□╰)o 大概意思是有个U盘插到电脑上,然后经过一些操作导致该电脑重启了. ...
- wireshark流量分析实战
wireshark Wireshark(前称Ethereal)是一个网络封包分析软件.网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料.Wireshark使用WinPCAP作 ...
- 2018西普杯铁三西北赛区流量分析
经典流量分析题目,每次都要拿出来用索性整理好下次方便点 本文所用的WireShark语法 http 显示出所有的HTTP协议数据 ip.addr == xxxx 显示出所有数据中地址为xxxx的包 i ...
- CTF——MISC——流量分析
目录 一.流量包修复 二.协议分析 三.数据提取 例题: 1,题目:Cephalopod(图片提取) 2,题目:特殊后门(icmp协议信息传输) 3,题目:手机热点(蓝牙传输协议obex,数据提取) ...
- 流量分析_安恒八月月赛
前言: 流量分析很有意思,之前忙于考试,暂时没有学习了,考试结束了就来总结一下一些CTF下常见的流量分析的题型. 0x00:流量包修复 使用wireshark打开流量包发现报错,可以使用在线pacp包 ...
- wireshark 十六进制过滤_CTF流量分析之wireshark使用
01.基本介绍 在CTF比赛中,对于流量包的分析取证是一种十分重要的题型.通常这类题目都是会提供一个包含流量数据的pcap文件,参赛选手通过该文件筛选和过滤其中无关的流量信息,根据关键流量信息找出fl ...
最新文章
- Flutter开发Flutter与原生OC、Java的交互通信-2(48)
- (转)写的非常好的一个WPF学习之路
- 大前端最强vscode教程(基础篇)
- 入门javascript_Espruino入门,Espruino是用于微控制器JavaScript解释器
- 带有Upida/Jeneva.Net的ASP.NET MVC单页应用程序(后端)
- 【追一科技】AAAI、ACL、EMNLP等顶会论文成果分享
- JavaScript-遍历数组
- The eighteen day
- Eclipse快捷键 10个最有用的快捷键(转载收藏)
- c 语言与试验系统,Turbo C/C++软件学习下载
- 尘埃4 for Mac(DiRT4赛车竞速游戏)原生版
- iOS开发:上架的App生成二维码下载的方法
- 设置Chrome新标签页为自定义地址页面
- 数商云采购管理系统支付结算功能详解,实现建筑工程企业采购业务智能化管理
- 小程序 | 微信小程序实现星级评分与星级评分展示
- WER2019上海世界锦标赛
- Python连接维特智能角度传感器JY61/JY901的方法
- RPA自动化软件汇总
- 华为鸿蒙系统新界面,华为德国申请专利更新 自研操作系统鸿蒙界面曝光
- CSS制作太极八卦图及衍生物