Wireshark例题-CTF

最新推荐文章于 2024-07-30 14:37:18 发布
最新推荐文章于 2024-07-30 14:37:18 发布
阅读量1.2w 收藏 49
点赞数 12
分类专栏: 安全学习 文章标签: wireshark ctf 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LYJ20010728/article/details/116804672
版权

Wireshark例题-CTF

搜索

题目文件:key.pcapng

题目描述:flag被盗,赶紧溯源!

题目题解:
①可以只将这个数据包当做文本文件打开,比如用一些notepad++编辑器,然后直接搜索
②用Wireshark自带的搜索功能找尝试查找一些关键词(比如key、flag、shell、pass等),然后跟进可疑的数据包,根据数据包特征,很明显看出这是一个菜刀连接一句话木马的数据包,然后往下找,即可看到读取的flag

在这里插入图片描述
在这里插入图片描述

文件提取

例题一

题目文件: caidao.pcapng

题目描述:有人偷偷下载了文件!

题目题解:
根据题意可能数据包中存在文件传输,尝试直接导出,选择File(文件)–>Export Objexts(导出对象),然后可以看到一些协议,比如选中http就可以看到通过http传输的一些文件,在右下角有导出按钮,可生生成相应的文件。但是本题中无法用此方法直接看到被下载的文件,因为有些文件是直接通过tcp或udp协议传输的,http协议只能看到的访问的链接,但不会看到传输的内容(比如你去访问放一个链接download.php?file=test.rar,通过上述导出对象的方式看不出来下载的文件的内容的)

在这里插入图片描述
在这里插入图片描述

这个时候就需要找到那个执行下载的数据包,找到数据传输的部分再导出,比如下面这个数据包
大概是一个菜刀下载的过程,在最后一个包可以看到下载的文件,直接右键点击“导出分组字节流”,然后保存为.tar.gz文件

在这里插入图片描述
在这里插入图片描述

本题中最后还要使用16进制编辑器去除开头和结尾的X@Y字符,这个是菜刀的特征符号,不是文件内容

在这里插入图片描述

例题二

题目文件:misc_fly.p.capng

题目描述:抓到一只苍蝇!

题目题解:
首先用HTTP条件过滤一下;
右键第一个包,追踪流;

在这里插入图片描述

可以看到一些基本信息,首先这是一个POST数据包,发送了一些文件相关信息,包括名称(fly.rar)和大小(525701)等。接下来应该就是文件实际上传的数据包,将过滤条件改为:http.request.method==“POST”;

在这里插入图片描述

从数据包的结构上看应该就是第二至第六个数据包是数据传输的过程。点开第二个可以看到MediaType的长度为131436=;
在这里插入图片描述
第二到第五个都是一样的长度,第六个为1777,应该是剩余的最后一部分数据。但是131436*4+1777=527521!=525701,再看下第一个数据包;
在这里插入图片描述

都知道rar文件头应该是Rar,但是选中的数据部分前面却多出了很多,简单计算一下一共多出了364,且364*5+525701=527521,所以多出的也许是某种校验数据,在导出的时候将其忽略;
每个包都做同样的操作即可得出5个文件,再将这个文件按顺序拼接即可。拼接的话可以使用16进制编辑器手动拼接,也可以使用linux下cat命令,比如“cat 1 2 3 4 5 > fly.rar”;’这道题还设置了伪加密,需要修改加密位,将0x84位置改为0x80即可;

在这里插入图片描述
解压出来后是一个exe可执行文件,里面隐藏了一个png图片,是个二维码,扫描即可得到flag

在这里插入图片描述
在这里插入图片描述

信息提取

题目文件: sqlmap.pcap

题目描述:数据库中的flag被偷走了,好在全过程我们都有记录

题目题解:
数据包记录的是sqlmap获取flag的过程,使用http && http contains"flag"过滤一下

在这里插入图片描述

将其payload解码一下是这样的,判断其ascii码是否大于64
id=1 AND ORD(MID((SELECTIFNULL(CAST(value AS CHAR),0x20) FROM isg.flags ORDER BY value LIMIT0,1),1,1))>64
然后一直到836个包判断第一位ascii码值大于72,然后开始从高到低递减,判断其ascii码不大于73,则第一位的ascii码值是73,对应的字符为I。以此类推,其flag为ISG{BLind_SQl_InJEcTi0N_DeTEcTEd}。本题需要一定的耐心和SQL注入基础。但是这么做可能有些繁琐,其实pcap数据包可以直接用文本编辑器打开,就可以看到其中的http请求

在这里插入图片描述

所以可以使用字符串搜索的方式直接去查找其中的语句,然后判断flag,首先将原数据包中的http请求导出来,另存为sqli.pcap
在这里插入图片描述

H3rmesk1t
关注
专栏目录
CTF工具之wireshark(misc).rar
09-16
此工具用于学习交流用途,切勿用于其它用途。
CTFwireshark数据包分析(初学者必看)
weixin_52620919的博客
07-29 4717
预备知识 TCP/IP TCP是一种面向连接(连接导向)的、可靠的、基于字节流的运输层通信协议。在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接: 【第一次握手】:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SENT状态,等待服务器确认; SYN:同步序列编号(Synchronize Sequence Numbers)。 【第二次握手】:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),
【攻防世界CTF|杂项】第二题:心仪的公司
最新发布
weixin_70825534的博客
07-30 577
网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题,也可能从所抓到的包中获得想要的信息。– ip.src eq xxxx or ip.dst eq xxxx 或者 ip.addr eq xxxx。(比如此题中在过滤栏中用到的http contains "webshell",就是一种HTTP过滤的语法)CTF比赛中,通常比赛中会提供一个包含流量数据的 PCAP 文件,进行分析。2.2使用wireshark打开文件。
2024年---第十五届蓝桥杯网络安全CTF赛道Writeup(Web、Misc、Crypto、Reverse、Pwn)
ctfayang的博客
05-09 3040
本文章为第十五届蓝桥杯网络安全赛个人赛赛题详解,后期将会持续不断的更新。大家如果有兴趣进一步深入学习CTF,可访问网址进行联系或者添加二维码报名参加CTF培训班。我们的教师团队均来自CTF省赛、市赛前十名选手,通过顶尖战队的手把手指导,大家学完之后即可达到省赛、市赛的夺奖水平。
CTF web安全经典例题讲解
10-22
该内容为CTF赛题web安全经理例题讲解,包含sql注入,密码学、文件上传,提权、抓包改包等多种题型讲解,图文结合,适合新手学习。
杂项题的基本解题思路——4、流量取证技术
_Co1a
10-31 1656
流量包文件分析 流量包就是说我向你传递的时候,把你传递过程中的数据抓取下来,保存成一个文件 流量取证技术就是说:题目会给你一个流量包,你要在流量包里面找到相应的一些文件(有时候flag值就藏在流量包的某一个位置) ①wirkshark工具 查看自己的电脑有没有安装wireshark:win+R——》输入wireshark看能不能打开 kaliLinux自带了wireshark 利用wirkshark工具的过滤器功能 常用的过滤命令 1、 过滤IP 如过滤源IP或者目的IP ip.src eq x.x
初用wiresharkctf的题
qq_45675393的博客
01-16 2504
首先打开一个明文显示的流量包 然后打开统计页面 选中协议分级 通过比重我们可以清楚地看到ipv4中所占的比重较大怀疑flag信息可能就藏在里面。 打开IPV4我们可以看到 TCP所占比重较大,怀疑数据可能就藏在其中 同理我们接着打开TCP所占比重较大的HTP在HTP中也找到所占比重较大的然后打开 然后选择Media Type 点击鼠标右键用过滤器进行筛选 选中后我们就可以看到全是相应的...
2021年云南省职工职业技能大赛CTF流量分析题(wireshark)WriteUp
weixin_43137410的博客
10-09 4381
2021年云南省职工职业技能大赛CTF流量分析题(wireshark)WriteUp .0x00 前言 本人作为业余爱好者参加了2021年云南省职工职业技能大赛的网络安全比赛,比赛形式以CTF+理论考核+模拟渗透的形式,今天分享一题流量分析题的解题过程。 0x01 题目分析 题目名很直接,就叫wireshark,将压缩文件解压之后是一张名为“target.jpeg”的图片。 0x02 解析图片 目标明确,直接上binwalk。 通过binwalk分析,图片内还藏有一个zip压缩文件,使用命令 binwal
Wireshark流量分析例题
求大佬师傅带
08-23 3127
Wireshark流量分析例题
wireshark问题
kobexzf的博客
02-20 255
1 windows主机配置ip addr,子网掩码,默认网关(路由器),所以主机的路由很简单:dest ip 根据subnet mask 判断是否和host ip在同一子网,若是,arp找到dest mac地址直接交付,若不是arp找到默认网关mac发出。 2 但是某些主机除直接交付,默认网关外,不排除有特定主机路由或路由表有普通项,需要注意 3 根据自己所在网络的mtu(比如以太网,以太网帧的...
CTF-Misc-wireshark软件解题的基本使用与操作;
半岛铁盒的博客
11-20 3564
软件的下载 大家可以参考我的另一篇博客:https://blog.csdn.net/weixin_45556441/article/details/109864690 软件的使用 本人以CTF查找flag的形式进行说明; 操作1:查找flag 快捷键Ctrl+F注意箭头的参数; 点击查找,有时候要多点几次才能查找到关键信息; 操作2:看信息栏 操作三,根据信息栏进一步得到关键信息 采用追踪流的形式进一步查看; * 快捷键 Ctr+O 文件打开 Ctrl+W 关闭文件 Crl+S 保存 Shift+Ctrl+
CTF 隐写术经典例题讲解
10-22
这通常涉及TCP/IP协议栈的理解,以及Wireshark等抓包工具的使用。你需要识别异常流量模式,比如特定的HTTP请求、加密套接字层(SSL/TLS)会话,甚至隐藏在音频或视频流中的信息。深入理解网络协议和流量分析技巧,是...
一道冰蝎文件流量分析的例题
09-01
`.cap`文件是Wireshark捕获的数据包文件格式,通常包含了网络上抓取的所有通信记录。冰蝎可以通过读取这种文件,来对网络流量进行复用和分析。 以下是使用冰蝎进行文件流量分析的基本步骤: 1. **导入冰蝎库**:...
流量分析-Wireshark -操作手册(不能说最全,只能说更全)
热门推荐
路baby的博客
03-22 1万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据包筛选 顶峰相见
ctf python大法好_CTF中RSA攻击方法总结
weixin_39978282的博客
12-21 1559
RSA近期因为一些比赛以及其他原因,总结了一些RSA方面的东西,于是在这里与大家分享,希望大家能有所收获,如有不当之处敬请批评指正。0x01 前言这里就不讨论数论的基础了,进行RSA的题目解答,至少要懂得基本的数论知识的,如果不了解数论的基本知识的话,网上相关内容还是挺多的。RSA基于一个简单的数论事实,两个大素数相乘十分容易,将其进行因式分解确实困难的。在量子计算机还没有成熟的今天,RSA算法凭...
CTF流量分析之wireshark使用
2401_84466316的博客
05-28 1648
指定URI:http.request.uri==“/img/logo-edu.gif”筛选HTTP请求的URL为/img/logo-edu.gif的流量包。pcap流量包的分析通常都是通过图形化的网络嗅探器——wireshark进行的,这款嗅探器经过众多开发者的不断完善,现在已经成为使用最为广泛的安全工具之一。arp/icmp/http/ftp/dns/ip 筛选协议为arp/icmp/http/ftp/dns/ip的流量包。tcp.srcport == 80 筛选tcp协议的源端口为80 的流量包。
CTF流量题解http1.pcapng
catch
08-08 1766
里面包含了flag。
CTF——杂项题的基本解题思路
weixin_44087538的博客
04-10 2139
使用binwalk查看文件的组成部分,使用dd命令对文件进行分离,从图中可以看到0-22895是jpeg格式,22896-23046是zip格式,则dd命令格式为:dd if=输入文件 of=输出文件 bs=1 count=23046 skip=22859,即每一块大小为1,跳过前22895块。zip文件是否加密是通过标识符来显示的,在每个文件的文件目录字段有一位专门标识了文件是否加密,将其设置为00表示该文件未加密,若成功解压则表示文件为伪加密,如果解压出错说明文件为真加密。
004_wireshark专题
weixin_33762321的博客
02-02 77
一、常用的wireshark搜索语法 (1) http.request.uri contains "admin/activities" #搜索URL包含"admin/activities"的链接 (2)wireshark协议分析 http://blog.csdn.net/ahafg/article/details/51039584  二、过滤http中包含指定header头的内...
Wireshark实验-HTTP
05-14
Wireshark是一款网络抓包工具,可以用来捕获和分析网络数据包。在本次实验中,我们将使用Wireshark来分析HTTP协议的数据包。 1. 下载并安装Wireshark 首先,你需要从Wireshark官网下载并安装Wireshark。安装完成后,打开Wireshark。 2. 捕获HTTP数据包 在Wireshark的主界面中,你可以看到所有正在进行的网络连接。为了捕获HTTP数据包,我们需要过滤出HTTP流量。 在过滤器栏中输入“http”,然后点击“Start capturing”按钮开始捕获数据包。 3. 查看HTTP数据包 一旦数据包开始捕获,你将看到所有HTTP流量的数据包。每个数据包都包含了许多信息,包括源IP地址、目标IP地址、协议类型等。 你可以双击任何一个数据包来查看详细信息。在“Packet Details”窗格中,你可以查看数据包的所有信息,包括HTTP请求和响应。 4. 分析HTTP请求和响应 在数据包详细信息中,你可以查看HTTP请求和响应的详细内容。包括请求行、请求头、请求体和响应头等。 你可以通过查看HTTP请求和响应的详细内容,来了解它们之间的交互过程,如何传递数据和响应结果等。 通过分析HTTP数据包,可以帮助你更好地理解HTTP协议的工作原理,以及如何使用Wireshark来分析网络流量。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值