MISC:
一 、流量分析
二、文件格式分析
三、隐写—图片、音频
四、压缩包分析
五、古典密码
什么是MISC:
Misc 是英文 Miscellaneous 的前四个字母,杂项、混合体、大杂烩的意思。
Misc 在国外的比赛中其实又被具体划分为各个小块,有
Recon、Forensic、Stego、Misc…
在国内内的比赛中,被统一划分入 Misc 领域,有时 Crypto(尤其是古典密码)也被划入其中。
杂项大致有几种类型:
流量分析
隐写
压缩包处理
文件格式分析
攻击取证
Recon(信息搜集)
主要介绍一些获取信息的渠道和一些利用百度、谷歌等搜索引擎的技巧
Encode(编码转换)
主要介绍在 CTF 比赛中一些常见的编码形式以及转换的技巧和常见方式
Forensic && Stego(数字取证 && 隐写分析)
隐写取证是 Misc 中最为重要的一块,包括文件分析、隐写、内存镜像分析和流量抓包分析等等,涉及巧妙的编码、隐藏数据、层层嵌套的文件中的文件,灵活利用搜索引擎获取所需要的信息等等。
一、流量分析:
常比赛中会提供一个包含流量数据的 PCAP 文件,有时候也会需要选手们先进行修复或重构传输文件后,再进行分析。
PCAP 这一块作为重点考察方向,复杂的地方在于数据包里充满着大量无关的流量信息,因此如何分类和过滤数据是参赛者需要完成的工作。
主要工具是wireshark,需要熟练掌握使用方法,过滤器语法、追踪流、导出文件
wireshark:
Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码。
2、用以上菜单项对wireshark进行配置:
“File"(文件)打开或保存捕获的信息 。“Edit” (编辑)查找或标记封包。进行全局设置。
“View”(查看)设置Wireshark的视图。 “Go” (转到)跳转到捕获的数据。
“Capture”(捕获)设置捕捉过滤器并开始捕捉。“Analyze”(分析)设置分析选项。
“Statistics” (统计)查看Wireshark的统计信息。“Help” (帮助)查看本地或者在线支持
3、过滤器
使用Wireshark时最常见的问题,是当使用默认设置时,会得到大量冗余信息,以至于很难找到自己需要的部分。这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。
捕捉过滤器:用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。在Capture(捕获) -> Capture Filters (捕获过滤器)中设置。
显示过滤器:在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。
流量分析题目 1: bugku上的杂项Telnet
解法一:直接用编译器Notepad++打开搜索flag;
解法二:
telnet是一个远程连接协议,协议端口号为23。
它的特性为明文传输用户和密码。
首先过滤,只查看”telent流”,然后选取一行,右键打开,追踪”TCP流“。
题目提示为“Telnet题”所以我们 首先过滤,只查看”telent流”:
然后选取一行,右键打开,追踪”TCP流“。
得到flag
流量分析题目 2: CTF.pcapng
在Wireshark软件打开key.pcapng文件 开始扫描数据:
最低0.47元/天 解锁文章
745
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
