CTF基本解题思路-杂项-(4)流量取证

已于 2024-01-16 17:38:39 修改
阅读量639 收藏 10
点赞数 6
分类专栏: CTF_杂项 文章标签: 网络安全 安全
于 2024-01-16 17:35:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Eric___Qu/article/details/135628340
版权

目录

1.流量包分析

1.过滤报文

2.协议分级

3.流汇聚

2. 找到getshell

1.通过contain语句查找关键字"command"

2.点击查看包,下方会显示这个包的信息,找到含有命令行的包,然后追踪流

​3.发现痕迹

3.数据提取

1.提取http对象

2.查看内容

4.无线流量包(特殊)

 1.wifi密码破解

5.usb流量(难) 

1. 流量提取

6.https流量分析

描述

必要工具:Wireshark

教程:  https://blog.csdn.net/zzwwhhpp/article/details/113077747

1.流量包分析

1.过滤报文

 

2.协议分级

好处:清楚地统计数据包里流量的占比

3.流汇聚

好处:流汇聚能够将来自不同数据源的数据重组成统一的易读格式,使得用户可以更加直观地分析和理解数据流

 例如常考的http流,我们会很熟悉

flag常在位置:

2. 找到getshell

shell:命令行的操作方式,比如在终端执行命令

如果你的服务器被别人入侵,执行了一些命令,那么这些命令在数据包里就可以查看

1.通过contain语句查找关键字"command"

2.点击查看包,下方会显示这个包的信息,找到含有命令行的包,然后追踪流

3.发现痕迹

 flag可能在里面,或者以编码形式存在,解码即可

3.数据提取

1.提取http对象

2.查看内容

flag可能在这些文件里以编码形式存在,需要我们解码

 3.手动提取

如果提取的对象里面没有你想要的内容,可以尝试手动提取

4.无线流量包(特殊)

 1.wifi密码破解

5.usb流量(难) 

1. 流量提取

6.https流量分析

 

叶枯雪落光仍在
关注
  • 6
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
ctf流量分析练习二
gclome的博客
09-06 3209
上次的流量分析做的我一个脑袋两个大!但是不能放弃啊,再找一些题来练练手 0x01 经典题型 CTF题型主要分为流量包修复、WEB流量包分析、USB流量包分析和其他流量包分析。 01 流量包修复 比赛过程中有可能会出现通过wireshark打开题目给的流量包后提示包异常的情况,如下图所示: 解题思路: 通过在线pacp包修复工具进行修复: http://f00l.de/hacking/pcapfix.php 修复之后,再次打开 用tcp contains “flag”,找到了下面这句话: 于是乎,flag就在
CTF——杂项3.流量取证技术
woo233的博客
09-09 2728
先用wireshark筛选http的流量,假如没有则筛选tcp的流量,因为getshell是在命令行中执行的,可以用tcp contains “command”在关注的http.数据包或tcp数据包中选择流汇聚,可以将HTTP流或TCP流汇 聚或还原成数据,在弹出的框中可以看到数据内容。在关注的http.数据包或cp数据包中选择流汇聚,可以将HTTP 流或TCP流汇聚或还原成数据,在弹出的框中可以看到数据内容。比如查看数据包的时候,有的数据包有某种特征,比如有http(80)。Data数据单独复制出来。
pwn旅行之[WUSTCTF 2020]getshell2(一些小知识)
最新发布
qq_66013948的博客
02-07 478
Linux下查找文件(find、grep命令)_linux查找文件-CSDN博客find 路径 -name "文件名"之后就是根据题目猜测flag文件的名字,最后通过上一条语句进行查找,当然,如果猜不到,那么还是只有挨个找了。
网络安全CTF流量分析-入门8-攻击流量行为分析
m0_51198141的博客
11-26 480
1.攻击者爆破使用的账号和密码是多少2.攻击者发现软件存在越权漏洞,请给出攻击者越权使用的Cookie的内容的md5值3.攻击者使用jdbc漏洞读取了应用配置文件,给出配置文件中的数据库账号密码4.攻击者又使用CVE攻击了应用,执行系统命令,请给出此CVE编号以及远程Exp的文件名5.给出攻击者获取系统权限后,下载的工具的名称这道题整体就是分析出整个流量的行为就行,做起来还是比较舒服并且贴合实际情况,但是要有一定的逻辑思维,否则容易陷入误区。
ctf】whireshark流量分析之tcp_杂篇
一大口木的博客
12-21 1674
流量分析之tcp_杂篇
CTF杂项解题思路探究.zip
02-26
CTF杂项解题思路探究.zip
工匠杯-CTF(题目+exp+解题思路
04-01
解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。题目主要包含逆向、...
CTF题库解题思路.xls
01-25
CTF题库解题思路
bugkuctf解题-杂项
05-04
bugku writeup,杂项解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF流量题解http3.pcapng
catch
08-08 228
【代码】CTF流量题解http3.pcapng。
利用文件名进行GetShell---CTF题目的相关知识解析
rigous的博客
11-27 3682
0x00 今天白老师扔给我了一个虚拟机,里面有4道CTF的相关网站,我检视了一下,主要有四个文件夹,映射到了8081-8084四个端口。还有一个struts的漏洞测试环境。 首先主要看了下8084对应的题目,包括一道php登录绕过和命令执行漏洞,整个解题思路一波三折,很有意思。
[DDCTF2018]流量分析
qq_48511129的博客
08-29 518
流量包中搜索 tcp contains “KEY” 追踪tcp流发现 解密后为 接着查看流量包,发现一张png图片。复制 进行解码图片 发现图片是一串字母 ORC在线识别:https://www.onlineocr.net/zh_hant/ 进行图片识别 可能会存在一些错误。自己对照字母看一遍 根据提示套上ssh私钥格式 -----BEGIN RSA PRIVATE KEY----- MIICXAIBAAKBgQDCm6vZmclJrVH1AAyGuCuSSZ8O+mIQiOUQCvN0HYbj815.
利用Wireshark 解密HTTPS流量
weixin_33782386的博客
06-14 261
在我之前的一篇文章中已经介绍了一种解密HTTPS流量的一种方法,大致方法就是客户端手动信任中间人,然后中间人重新封包SSL流量。文章地址:http://professor.blog.51cto.com/996189/1746183 ---------------------------------------------------------------------...
[SUCTF 2018]GetShell
qq_43801002的博客
07-27 1345
题目 过程 if($contents=file_get_contents($_FILES["file"]["tmp_name"])){ $data=substr($contents,5); foreach ($black_char as $b) { if (stripos($data, $b) !== false){ die("illegal char"); } } } 发现可以上传php文件,访问过后发现,直
BUUCTF:[SUCTF 2018]GetShell
末初的CSDN博客
08-01 1783
题目地址:https://buuoj.cn/challenges#[SUCTF%202018]GetShell if($contents=file_get_contents($_FILES["file"]["tmp_name"])){ $data=substr($contents,5); foreach ($black_char as $b) { if (stripos($data, $b) !== false){ die("illegal cha
get-shell [XCTF-PWN]CTF writeup系列1
重新启程
12-19 1853
因为做vulhub靶场Serial2,在最后一步用到了rop技术,所以就顺便把自己学习pwn的过程做下记录。 今天做的ctf题目是pwn新手训练场的第一题get-shell。 首先我们点击获取在线场景 然后我们就可以看到,这个题目给我们提供了一个服务器端口,我们可以通过telnet连接这个端口 我们可以看到 这个端口是可以直接连接的,这道题目,因为没有回显文件,所以就看不到什么...
BugkuCTF之web题之求getshell
A_dmin的博客
12-09 3006
BugkuCTF之web题之求getshell 一进来发现: maybe时绕过,那就用一句话木马吧!! php的一句话是:<?php @eval($_POST['pass']);?> asp的一句话是:<%eval request ("pass")%> aspx的一句话是:<%@ Page Language="Jscript&amp
CTFHub 命令注入-无过滤
07-25
CTFHub 命令注入-无过滤是一个题目,它的源代码中存在一个命令注入漏洞。在这个题目中,用户可以通过输入IP地址执行ping命令。\[1\]由于没有采用过滤,用户可以直接进行命令拼接,例如输入"192.168.43.222;ls"可以查看目录下的全部文件。\[2\]在这个题目中,flag被隐藏在网页源代码中。\[3\]为了防止命令注入漏洞,可以对用户输入进行过滤,例如过滤空格。 #### 引用[.reference_title] - *1* *2* [CTFHub -技能树 命令注入-无过滤](https://blog.csdn.net/qq_45653588/article/details/107556087)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CTFhub——命令执行](https://blog.csdn.net/qq_43277152/article/details/113649643)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

叶枯雪落光仍在

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值