流量分析0.o

最新推荐文章于 2024-10-02 08:00:00 发布
最新推荐文章于 2024-10-02 08:00:00 发布
阅读量1k 收藏 28
点赞数 13
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_77961060/article/details/141208511
版权

[陇剑杯 2021]签到

此时正在进行的可能是__________协议的网络攻击。(如有字母请全部使用小写,填写样例:http、dns、ftp)。得到的flag请使用NSSCTF{}格式提交。

过滤协议

例子:tcp,udp,arp,icmp,http,smtp,ftp,dns,msnms,ip,ssl,oicq,bootp等等

排除arp包,如!arp   或者   not arp

既然问协议,先看协议分级,从统计点协议分级

 可以看到HTTP协议占到了大部分

http,只看该协议

可以看到几乎所有都是返回403状态码,表示访问错误,那么就是该网络协议的攻击

NSSCTF{http}

[陇剑杯 2021]webshell(问1)

单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
黑客登录系统使用的密码是_____________。。得到的flag请使用NSSCTF{}格式提交。

http模式过滤

例子:

http.request.method == “GET”

http.request.method == “POST”

http.request.uri == “/img/logo-edu.gif”

http contains “GET”

http contains “HTTP/1.”

// GET包

http.request.method == “GET” && http contains “Host: “

http.request.method == “GET” && http contains “User-Agent: “

// POST包

http.request.method == “POST” && http contains “Host: “

http.request.method == “POST” && http contains “User-Agent: “

// 响应包

http contains “HTTP/1.1 200 OK” && http contains “Content-Type: “

http contains “HTTP/1.0 200 OK” && http contains “Content-Type: “

一定包含如下

Content-Type:

根据常见的登录关键词过滤http contains loginhttp contains user

或者先过滤POST,再查找

username=test&password=Admin123!%40%23&expire=0HTTP/1.1 200 OK

NSSCTF{Admin123!@#}

[陇剑杯 2021]webshell(问2)

单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
黑客修改了一个日志文件,文件的绝对路径为_____________。(请确认绝对路径后再提交)。得到的flag请使用NSSCTF{}格式提交。

重点修改了日志文件

过滤POST协议后直接查找后缀名

注意还要文件绝对路径,/var/www/html/

 /var/www/html/data/Runtime/Logs/Home/21_08_07.log

[陇剑杯 2021]webshell(问3)

题目描述

单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
黑客获取webshell之后,权限是______?得到的flag请使用NSSCTF{}格式提交。

权限一般会有whoami这条命令,注意到上一题就有该命令

可以看到www-data

[陇剑杯 2021]webshell(问4)

单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
黑客写入的webshell文件名是_____________。(请提交带有文件后缀的文件名,例如x.txt)。得到的flag请使用NSSCTF{}格式提交。

在导出对象看到很多1.php文件

大概率上传的是一句话木马

这是一条恶意命令,旨在创建一个Webshell。该命令使用PHP的eval函数来执行用户输入的代码,从而可能导致服务器被黑客攻击。

具体来说,这条命令使用PHP的eval函数来执行用户输入的代码,并将其写入到/var/www/html/1.php文件中。这样黑客可以通过访问该文件来执行恶意代码,从而控制服务器。

所以文件名是1.php

[陇剑杯 2021]webshell(问5)

单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
黑客上传的代理工具客户端名字是_____________。(如有字母请全部使用小写)。得到的flag请使用NSSCTF{}格式提交。

由于前面的webshell的参数是aaa,文件是1.php

所以可以查找aaa或1.php

通过对比发现345追踪后多着frpc.ini文件,可能就是代理工具客户端的名字

NSSCTF{frpc}

[陇剑杯 2021]webshell(问6)

单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
黑客代理工具的回连服务端IP是_____________。得到的flag请使用NSSCTF{}格式提交。

继续使用 http contains "1.php" 命令进行分析

尝试解码

ASCLL16进制

    192.168.239.123 

[陇剑杯 2021]webshell(问7)

单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
黑客的socks5的连接账号、密码是______。(中间使用#号隔开,例如admin#passwd)。得到的flag请使用NSSCTF{}格式提交。

在上一题解码就有相关信息

NSSCTF{0HDFt16cLQJ#JTN276Gp}

总结:总的做完之后就是,这名黑客通过frpc.ini挂上了代理,然后通过上传1.php文件,上传木马,获取网站的权限。

小丑皇,王中王
关注
流量分析基础知识学习
hezhing
12-26 2985
流量分析基础知识学习 wireshark基础语法 常见套路 查看关键字 http contains "flag" //直接出 追踪流 右键-》追踪流-》TCP 分组字节流 文件-》导出选择分组字节流 查看隐藏 binwalk查看 然后再用搜索 然后导出分组字节流 做题方法 flag明文 直接搜索flag,flag{ flag编码 flag经过16进制编码,或者其他编码 flag-->666C6167 unicode转ascii f-->f 直接上脚
USB(键盘)流量分析
BvxiE的博客
07-17 2690
hws2023的一道misc,没接触过,写一份博客,稍微带一点鼠标流量,自己做题收获,可能在某些情况仅适用本题。
CTF流量分析经典例题详解
qq_68163788的博客
01-03 3409
CTF(Capture The Flag)流量分析网络安全竞赛中的重要环节,通过分析网络数据包来解决问题。经典例题包括网络流量分析、协议分析、恶意代码分析等。举例来说,一道经典的CTF流量分析题目可能是给定一个pcap文件,要求分析其中的数据包,找出隐藏的信息或者发现异常行为。参赛者需要使用网络分析工具如Wireshark或tcpdump来分析数据包,识别各种协议如HTTP、FTP、DNS等,并根据特定的任务要求提取关键信息。另外,恶意代码分析也是CTF中常见的题型,参赛者需要分析给定的恶意代码样本
CTF 流量包相关-流量分析(1)
qq_56815564的博客
04-28 1万+
前面的flag不论是直接给你明文,还是有一定的编码,都是比较简单的,像这些十成甚至九成都会是签到题,所以了解一下知道有这种情况就好,重点不再这边另外这里还是给出一下风佬的脚本吧,虽然我感觉用到的几率应该不会很大,如果要用的话,那个破空查flag的工具应该会比较好用,下载的话,风佬的git里面应该有,这里就不给了。
CTF流量分析常见题型(二)-USB流量
热门推荐
qwzf
08-01 1万+
0x00 前言 在学习Wireshark常见使用时,对常见CTF流量分析题型和铁人三项流量分析题的部分问题进行了简单总结。由于篇幅过长,于是另起一篇总结常见流量包分析。包括USB流量包分析和一些其他流量包分析。 0x01 USB流量包分析 USB流量指的是USB设备接口的流量,攻击者能够通过监听usb接口流量获取键盘敲击键、鼠标移动与点击、存储设备的铭文传输通信、USB无线网卡网络传输内容等等。在CTF中,USB流量分析主要以键盘和鼠标流量为主。 1、键盘流量 USB协议数据部分在Leftover Capt
Wireshark流量分析例题
求大佬师傅带
08-23 3157
Wireshark流量分析例题
wireshark流量分析
FisrtBqy的博客
03-31 1412
流量分析,wireshark使用
CTF-流量分析
qq_61774705的博客
08-19 2708
流量分析
USB流量分析
Atkx's Blog
04-12 6297
鼠标流量 流量包bingbing.pcapng,USB流量 tshark提取USB流量 tshark -r bingbing.pcapng -T fields -e usb.capdata > usbdata.txt 剔除空行 tshark -r bingbing.pcapng -T fields -e usb.capdata | sed '/^\s*$/d' > usbdata.txt 利用脚本加上冒号 f=open('usbdata.txt','r') fi=open('out.
ctf之流量分析学习
一大口木的博客
11-13 2164
链接:https://pan.baidu.com/s/1e3ZcfioIOmebbUs-xGRnUA?pwd=9jmc提取码:9jmc前几道比较简单,是经常见、常考到的类型。
监控IP包流量代码_C++IP流量分析_监控_
10-03
下面将详细讨论如何通过C++进行IP流量分析以及监控的相关知识点。 首先,我们需要理解网络数据包的基本结构。IP数据包通常由头部和数据负载两部分组成。头部包含了诸如源IP地址、目标IP地址、协议类型(如TCP、UDP...
linux系统CPU,内存,磁盘,网络流量监控脚本.pdf
11-21
- 脚本使用`for`循环遍历网卡(`eth0 eth1`),计算网络流量。 - 使用`date +%s`获取时间戳,用于计算流量变化。 在实际运维中,编写这样的脚本可以自动化监控并定期记录系统状态,帮助管理员识别性能瓶颈和潜在...
使用socket编程来实现一个简单的C/S模型(TCP协议)
最新发布
caiji0169的博客
10-02 1407
下图是基于TCP协议的客户端/服务器程序的一般流程:服务器调用socket()、bind()、listen()完成初始化后,调用accept()阻塞等待,处于监听端口的状态,客户端调用socket()初始化后,调用connect()发出SYN段并阻塞等待服务器应答,服务器应答一个SYN-ACK段,客户端收到后从connect()返回,同时应答一个ACK段,服务器收到后从accept()返回。数据传输的过程:建立连接后,TCP协议提供全双工的通信服务,但是一般的客户端/服务器程序的流程是由客户端主动发起请求,
MQTT--EMQX入门+MQTTX使用
CJPSR的博客
09-30 1072
EMQ X基于 Erlang/OTP 平台开发的MQTT 消息服务器,是开源社区中最流行的 MQTT 消息服务器。EMQ X 是开源百万级分布式。
什么是“0day漏洞”?
分享关于Java编程、数据库管理和信息安全方面的最佳实践
09-29 525
0day漏洞是信息安全中的“幽灵”,因为它的隐蔽性和破坏性往往超出我们的预期。虽然普通用户和企业无法完全规避0day漏洞,但通过保持良好的安全习惯和使用合适的防护工具,可以在一定程度上降低受到0day攻击的风险。信息安全永远在变,防护措施也需要不断更新。在快速发展的网络环境中,我们只有时刻保持警惕,才能最大限度地保护我们的数据和隐私。
信息安全对抗演习:应对网络威胁的坚实防线
dexun123的博客
09-29 847
演习结束后,需要对整个演习过程进行总结和评估。分析演习中发现的问题和不足并提出改进措施;同时总结经验教训为未来的演习提供参考。
网络层——IP
weixin_74269833的博客
09-28 1173
由32位二进制数组成,通常用点分的形式被分为四个部分,每个部分1byte,最大值为255。从功能的角度看,ip地址由两部分组成,网络号和主机号。网络号标识了ip所在的网段,主机号标识了在该网段中的唯一的一台主机。二者的区分又需要与掩码配合使用,例如192.168.1.2/24,24表示掩码255.255.255.0,将掩码与ip进行按位与操作,获得了192.168.1.0即为该主机所在网段。将IP地址中的主机地址全部设为0, 就成为了网络号, 代表这个局域网。
网络安全学习路线图(2024版详解)
baimaozi008的博客
09-27 1081
近期,大家在网上对于网络安全讨论比较多,想要学习的人也不少,但是需要学习哪些内容,按照什么顺序去学习呢?其实我们已经出国多版本的路线图,一直以来效果也比较不错,本次我们针对市场需求,整理了一套系统的路线图,供大家学习参考。希望大家按照路线图进行系统学习不仅可以的完成上岸,还能够系统化学习,提升自己的后期竞争力。
QEMU 用户网络与桥接网络设置总结
aspirestro三水问海的博客
09-28 455
QEMU 用户网络与桥接网络设置总结
网站流量分析系统最长路径
05-22
网站流量分析系统最长路径可以使用拓扑排序和动态规划来解决。 首先,对网站的页面进行拓扑排序,得到一个页面的拓扑序列。然后,定义一个数组dp,dp[i]表示从起点到第i个页面的最长路径长度。初始时,dp[i]=0。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值