1.流量分析
ip.src ==192.168.1.102,显示源地址为192.168.1.102;
ip.dst==192.168.1.102, 显示目标地址为192.168.1.102;
ip.addr == 192.168.1.102,包括源地址和目标地址。
端口过滤
tcp.port == 80,显示端口为80的;
tcp.srcport == 80,只显示TCP协议的来源端口为80的;
tcp.dstport == 80,只显示TCP协议的目的端口为80的;
tcp.port >= 1 and tcp.port <= 80,显示TCP协议1-80之间的端口。
过滤包长度
整个UDP数据包:udp.length==20;
TCP数据包中的IP数据包:tcp.len>=20
例如BUGKU中的telnet题,打开压缩包后,是一个后缀为.pcap的文件,所以用Wireshark打开。然后进行过滤。再进行TCP追踪。得到flag。
如果进行追踪后,发现里面还有其他文件,就可以用binwalk进行查询,并分离出来,得到flag。
2.文件格式分析
JPEG (jpg) 文件头:FFD8FF 文件尾:FF D9 PNG (png) 文件头:89504E47 文件尾:AE 42 60 82
GIF (gif) 文件头:47494638 文件尾:00 3B ZIP Archive (zip) 文件头:504B0304 文件尾:50 4B
TIFF (tif) 文件头:49492A00
RAR Archive (rar), 文件头:52617221
Windows Bitmap (bmp), 文件头:424D
首先要记住这些文件的头和尾,在利用HXD打开后,首先就是要判断是否符合文件的形式,找其中可能隐藏的文件格式,一般都会是压缩包形式。如果看不出来就用binwalk扫描,分离。
其中可能也不会有其他文件,可能会是各种形式的加密,如Base64加密,Unicode加密等等,找出加密的地方用在线解密工具解密,就能得到flag
其中最难找的是图片形式。题目一般会出成这样:iVBORw0KGgAAAAANSUhEUgAAA;而实际应该是这样:iVBORw0KGgoAAAANSUhEUgAAA。这种情况就要找其他同类型的图片或文件,来一一比对。
3.隐写
隐写分为图片隐写和音频隐写。
工具:Stegsolve.jar Audacity MP3Stego_GUI
图像隐写术进行数据隐写分为以下几类:
1.在图片右击-属性-详细信息中隐藏数据信息;
2.将数据类型进行改写(rar类型数据 将其改写成jpg格式);
3.根据各种类型图像的固定格式,隐藏数据修改图像开始标志,改变其原有图像格式,在图像结束标志后加入数据,在图像数据中假如数据,不影响视觉效果情况下修改像素数据,加入信息;
4.利用隐写算法将数据隐写到图像中而不影响图像(仅限于jpg图像),隐写算法常见有F5、Guess、JSteg和JPHide等。
4.压缩包分析
zip压缩包常见漏洞
1、密码暴力破解/字典/掩码攻击 工具:ARCHPR
2、伪加密
3、明文攻击
其中伪加密的形式:
压缩源文件数据区:50 4B 03 04:这是头文件标记
压缩源文件目录区:
50 4B 01 02:目录中文件文件头标记
3F 00:压缩使用的 pkware 版本
14 00:解压文件所需 pkware 版本
00 00:全局方式位标记(有无加密,这个更改这里进行伪加密,改为09 00打开就会提示有密码了)
压缩源文件目录结束标志 :50 4B 05 06:目录结束标记
如果真是加密,那就根据题目的提示来选择是暴力破解,还是掩码。一般如果已知其中的某个密码字符,就可以用掩码。比如有个五位数的密码,已知其中一个字符为A,那就可以用:????A来作为密码来破解。