BUUCTF 大流量分析(二) 1

最新推荐文章于 2025-05-13 17:32:31 发布
最新推荐文章于 2025-05-13 17:32:31 发布
阅读量494 收藏 16
点赞数 13
分类专栏: # BUUCTF MISC 文章标签: Wireshark Misc BUUCTF CTF 网络安全 安全 大流量分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YueXuan_521/article/details/143141931
版权

BUUCTF:https://buuoj.cn/challenges

文章目录

相关阅读
CTF Wiki
BUUCTF:大流量分析(二)

在这里插入图片描述

题目描述:

黑客对A公司发动了攻击,以下是一段时间内获取到的流量包,那黑客使用了哪个邮箱给员工发送了钓鱼邮件?(答案加上flag{})附件链接: https://pan.baidu.com/s/1EgLI37y6m9btzwIWZYDL9g 提取码: 9jva 注意:得到的 flag 请包上 flag{} 提交

密文:

下载附件,有很多pcap流量包。

在这里插入图片描述

解题思路:

1、看第一个流量包,钓鱼邮件一般出现在攻击前期,寻找SMTP流量。

邮件协议:POP、SMTP、IMAP

在这里插入图片描述

追踪TCP流,发现几个邮箱。(拥有同样后缀@t3sec.cc的邮箱,应该是公司员工的邮箱)

在这里插入图片描述

往下查看流量,发现一段Base64编码的数据。

在这里插入图片描述

解码后,发现疑似钓鱼邮件,确认黑客使用的邮箱是:xsser@live.cn

tPO80rrDoaMNCiAgICAgvPjT2rmry77N+MLnvNy5ubjEtq+jrLK/t9bTptPD0OjSqsn9vLajrL7J
sOaxvm1haWyhom9hoaJjcm21yM+1zbPW8LK9vavM5ru7o6zH67TzvNK1x8K8aHR0cDovLzExOC4x
OTQuMTk2LjIzMjo4MDg0L2dldC5waHAgzO7QtNfUvLq1xNXKusXS1LHjxeS6z8+1zbPJ/by2oaMN
CiAgICDQu9C7tPO80qOhDQoNCg==

大家好。
     鉴于公司网络架构改动,部分应用需要升级,旧版本mail、oa、crm等系统逐步将替换,请大家登录http://118.194.196.232:8084/get.php 填写自己的帐号以便配合系统升级。
    谢谢大家!

在这里插入图片描述

flag:

flag{xsser@live.cn}
BUUCTF——大流量分析一、、三题
人若无名,便可专心练剑
05-14 1625
我们可以看到除了几个172开头的内网IP地址,就是183.129.152.140这个IP出现的频率最高了,所以我们怀疑这个就是攻击者的IP地址。题目说黑客攻击了A公司,那么进行攻击,且我们手上目前又有攻击留下的数据包,那么里面肯定有很多攻击IP与我们内网IP有交互的。如果是做题目嘛,那么我们就可以把这个地址直接提交,看看是不是正确的,但是真实的工作环境下,我们需要再进行确认下。某黑客对A公司发动了攻击,以下是一段时间内我们获取到的流量包,那黑客预留的后门的文件名是什么?
[BUUCTF]大流量分析 writeup
ShenZ的博客
09-05 1360
重要的话写前面,不要靠近这个题,会变得不幸 没什么逻辑,感觉是大流量 恶心人的…也可能是我没看懂哦 [BUUCTF]大流量分析 某黑客对A公司发动了攻击,以下是一段时间内我们获取到的流量包 1.黑客的攻击ip是多少? 2.黑客使用了哪个邮箱给员工发送了钓鱼邮件? 3.那黑客预留的后门的文件名是什么? 统计出现频率比较高的IP,这里不知道D和H的区别所以两个都看看 172.16.61.200 183.129.152.140 黑客IP 172.16.103.1 172.16.61.199 1.攻击IP 分
大流量分析)-BUUCTF
BEGCCYD的博客
11-11 229
https://buuoj.cn/challenges#%E5%A4%A7%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90%EF%BC%88%E4%BA%8C%EF%BC%89
BUUCTF 大流量分析(一) 1
YueXuan_521的博客
05-05 637
BUUCTF 大流量分析(一) 1 某黑客对A公司发动了攻击,以下是一段时间内我们获取到的流量包,那黑客的攻击ip是多少?(答案加上flag{})附件链接: https://pan.baidu.com/s/1EgLI37y6m9btzwIWZYDL9g 提取码: 9jva 注意:得到的 flag 请包上 flag{} 提交。1、随便打开一个,一般黑客的攻击流量会很多,需要使用Wireshark统计功能。下载附件,有很多pcap流量包。的分组数,是除内网IP最多的。最后,确认黑客的攻击ip是。
BUUCTF大流量分析
wangjin7356的博客
01-16 798
题目链接 https://buuoj.cn/challenges#%E5%A4%A7%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90%EF%BC%88%E4%BA%8C%EF%BC%89 解题过程 打开一个流量包,过滤SMTP流量 选中53041好分组,在中间的“Simple Mail Transfer Protocol”处点击鼠标右键选择“显示分组字节” 找到发送的邮箱:xsser@live.cn flag{xsser@live.cn} ...
BUUCTF流量分析
2301_76596810的博客
04-07 2476
CTFSHOW :(点击网址跳转)每道题都从以下模板讲解,并且每个步骤都有图片,清晰明了,便于复盘。
大流量分析(一)-BUUCTF
BEGCCYD的博客
11-11 305
https://buuoj.cn/challenges#大流量分析(一) 随便打开一个,直接搜索…/等攻击语句,定位到产生真实攻击的IP,得到183.129.152.140 flag为flag{183.129.152.140}
BUUCTF 大流量分析(三) 1
YueXuan_521的博客
05-12 257
BUUCTF 大流量分析(三) 1 本文介绍了在BUUCTF平台上的一个CTF题目,要求通过分析流量包找出黑客预留的后门文件名。题目提供了一系列pcap流量包,解题思路是通过搜索phpinfo()函数来定位后门文件。最终,在数据采集D_eth0_NS_20160809_172831.pcap流量包中发现执行phpinfo()的文件为admin.bak.php,确认其为黑客预留的后门文件。因此,答案为flag{admin.bak.php}。
BUUCTF:大流量分析(一)
wangjin7356的博客
01-16 5523
题目链接 https://buuoj.cn/challenges#%E5%A4%A7%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90%EF%BC%88%E4%B8%80%EF%BC%89 解题过程 附件有很多不同时段的流量包,打开其中一个看看: 利用统计工具分析一下: 统计-会话。发现183.129.152.140与内网IP建立会话的Packets较多。 统计-端点。同样发现183.129.152.140的包数最多。 统计-IPv4 Statistics-ALL A
BUUCTF大流量分析(一)
末初 · mochu7
12-02 1495
https://buuoj.cn/challenges#%E5%A4%A7%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90%EF%BC%88%E4%B8%80%EF%BC%89 下载这个就可以了数据采集D_eth0_NS_20160809_164452.pcap wireshark打开后,随便看下,发现除了私有地址,IP出现次数最多得就是:183.129.152.140 flag{183.129.152.140} ...
Buuctf [DDCTF2018]流量分析
m0_64444909的博客
08-26 1872
buuctf
杂项——USB键盘与鼠标流量分析——BUUCTF——流量分析
2301_80905479的博客
11-02 1381
GET DESCRIPTOR 和 URB_INTERRUPT in 都属于 USB 数据传输方式,但它们的用途不同,GET DESCRIPTOR 用于获取设备信息,而 URB_INTERRUPT in 用于实时地获取设备数据。端点描述符(Endpoint Descriptor):用于描述USB设备的端点信息,包括端点地址、端点类型、端点方向、最大包大小等信息。设备描述符(Device Descriptor):用于描述 USB 设备的基本属性,如设备厂商 ID、设备产品 ID、设备类别等。
BUUCTF Misc 部分(三)
葜。的博客
01-12 1681
九连环 下载附件 通过foremost分离出一个压缩文件,里面包含一张图片和另一个压缩文件,打开图片显示文件头损坏,用winhex打开,把08改成09保存便可以打开图片。 binwalk和foremost都没东西。看到文件名显示“已合并”,猜测steghide,但是没说密码, 空密码直接分离出ko.txt,里面就是另一个压缩包密码,打开即得flag。 面具下的flag 下载附件 foremost分...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8693
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
引言:Client Hello 为何是 HTTPS 安全的核心?
2501_90994755的博客
05-10 787
Cipher Suites TLS_AES_256_GCM_SHA384 TLS 1.3 仅保留 5 个强密码套件,而 TLS 1.2 支持数十种(需谨慎过滤弱算法)openssl s_client -connect example.com:443 -tls1_3 # 手动测试 TLS 1.3。使用 TLS_RSA_WITH_3DES_EDE_CBC_SHA(3DES 算法已过时,易受 SWEET32 攻击)。欢迎在评论区分享经历!
Nuitka 已不再安全? Nuitka/Cython 打包应用逆向工具 -- pymodhook
qfcy的博客
05-09 1341
pymodhook是一个记录任意对Python模块的调用的库,用于Python逆向分析,能记录模块的任意函数调用,以及类的任意方法调用,通过DLL注入实现了Nuitka/Cython应用的逆向。
AI安全之对抗样本攻击---FGSM实战脚本解析
ccstuck的专栏
05-10 563
对抗样本(Adversarial Examples)是深度学习安全领域的重要研究课题,快速梯度符号方法(FGSM)是生成对抗样本的经典算法。FGSM通过沿梯度正方向施加扰动,构造出使模型产生错误判断的输入样本,同时确保扰动在人类视觉感知中与原始样本无明显差异。本文通过实战代码详细解析了FGSM的实现过程,包括输入参数配置、受攻击模型定义、FGSM攻击算法实现及测试函数。实验结果表明,随着扰动系数ε的增加,模型准确率显著下降,而扰动也逐渐变得可见。通过可视化对抗样本,展示了不同ε值下模型分类结果的变化,验证了
遨游5G-A防爆手机:赋能工业通信更快、更安全
最新发布
AORO_BEIDOU的博客
05-13 306
当5G-A网络以超高速率、海量连接和毫秒级时延重塑行业生态时,防爆手机这一细分领域亟需突破传统技术框架,构建符合新时代需求的安全通信解决方案。
安全且深入的WooCommerce更新指南
05-09 1255
WooCommerce 更新是确保在线商店正常运行的关键步骤,但不当操作可能导致功能损坏,影响网站性能和收入。文章介绍了四种常见的更新态度:牛仔派、沙发土豆、胆小猫和特立独行者,并建议采用特立独行者的方法,即通过备份、暂存网站测试和自动化工具来安全更新。文章详细阐述了更新 WooCommerce 的四个阶段:获取工具、准备工作、更新和测试暂存网站、更新和测试实时网站。推荐的工具包括暂存网站、可视化比较工具(如 WP Boom)、端到端测试工具(如 Ghost Inspector 和 Usetrace)以及备
buuctf AWD-Test1
02-21
### BUUCTF AWD-Test1 题目解析 在BUUCTF AWD-Test1比赛中,参与者面对的是一个典型的攻防兼备(Attack and Defense, AWD)类型的挑战。这类竞赛不仅考验参赛者的攻击技巧,也强调防御能力的重要性。 #### 初始探索阶段 当访问给定的目标环境时,观察到存在两个不同的URL路径[^1]。进一步调查表明其中一个链接提供了一个文件上传的功能接口。通过尝试上传一张普通的图像文件来测试该功能的行为模式,可以初步了解服务器端对于不同类型文件处理的方式以及可能存在的安全漏洞。 #### 攻击面分析 为了深入理解潜在的安全风险并寻找可利用的弱点,建议采用系统化的逆向工程方法论来进行源代码审查。例如,在网鼎杯2020年的赛事中,“朱雀组”的选手通过对`think_java`应用执行静态分析发现了多个逻辑缺陷和配置错误,这些都可能是突破点所在之处[^3]。 #### 工具辅助渗透测试 Burp Suite作为一款广泛应用于Web应用程序安全性评估的强大工具,在此类活动中扮演着不可或缺的角色。它能够帮助捕捉HTTP(S)请求/响应数据包,并允许修改其中的内容以便于实施各种形式的手动或自动化攻击。具体来说,在一次成功的Flag获取过程中,操作者正是借助Proxy模块拦截住了认证过程中的流量,并巧妙地注入了一条指示真实客户端IP地址为localhost (127.0.0.1) 的自定义头部字段[X-IP] ,从而绕过了某些基于地理位置或其他因素的身份验证机制限制[^4]。 ```python import requests headers = { 'X-Real-IP': '127.0.0.1', } response = requests.get('http://example.com/login', headers=headers) print(response.text) ```
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

玥轩_521

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值