近期misc刷题主要是流量分析部分

2022年蓝帽杯misc部分

1.神秘的日志

题目没有搜到，但应该是问NTML身份验证的时间

解压出来拿到两个日志文件，正常我们先看第二个system

打开system查看日志

里面东西很多，我们过滤有用的东西，只看错误和警告

发现有用的就只有这2条

分别对应两个时间，然后我们取security里面去搜这两个时间

每个对应五个

我们随便打开一个，查看详细

里面有创建时间，一共有十个，没有好的办法，我们只能一个一个试，将他们转成MD5值

下面这个是正确的时间

转为md5

flag{dafd0428f634aefd1ddb26f8257c791f}

2.加密的通道

网上找到的题目

拿到一个流量包，我们首先直接过滤TCP包，然后看一下，发现这个流量包比较特别，下面类似与base16加密

可以看到第一个aaa那明显是一个蚁剑流量

关于蚁剑流量（PHP用base64）

PHP类WebShell链接流量

将蚁剑的正文内容进行URL解码后，流量最中明显的特征为@ini_set("display_errors","0");这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码，但是有的客户端会将这段编码或者加密，而蚁剑是明文，所以较好发现，同时蚁剑也有eval这种明显的特征。

蚁剑绕过特征流量

由于蚁剑中包含了很多加密、绕过插件，所以导致很多流量被加密后无法识别，但是蚁剑混淆加密后还有一个比较明显的特征，即为参数名大多以“_0x.....=”这种形式（下划线可替换为其他）所以，以_0x开头的参数名，后面为加密数据的数据包也可识别为蚁剑的流量特征。

整进去以后，我们发现好像是一串代码。

然后我们访问网站

通过这个可以看出来，这个网站是将左边的源码加密成右边的，所以我们尝试给他解密

在网上找解密的工具，然后用了好多发现都没有成功干出来，最接近的一个工具是Create phpjiami_decode.tar.gz · Y4tacker/CTFBackup@815e4df用它整了一个解密脚本

然后我们继续观察流量，对TCP流进行观察，一遍一遍的试，发现第34个tcp流里面出现了东西

开头的ant让我们想到了是蚁剑，然后第二个应该就是传的东西，这个流量分析没有分段，间隔符是以&为段的，然后我们给他分段，用的赛博厨子

然后我们拿到了第二段传的东西

yLxWGRCHJBEhtpnW7XTEjZa8U06pkFvEqTea5ISI%2FLggnmMXPblFZ6sDNJHoym6I0CkQIYr62%2B8sauFSYOHtPEpFX62kBmMAxi7abHOzQl5FAf2VO5wiezcXRp5nLDfqHCLa0Y8T9kaplu81yXLzXtlhZYgrqMtDsFROJ%2BZKNN0%3D

解密拿到

然后base64解密拿到flag

NSSCTF刷题（流量分析类）

3.[CISCN 2022 初赛]ez_usb

拿到手里的是一个usb流量分析

因为是键鼠流量，所以我们先直接过滤8字节长度流量包

使用指令

usb.data_len ==8

这样子过滤出来发现来源只有两个，分别是2.8.1和2.10.1

将这两个分别导出来

这样子导出来，然后放到kali里面用脚本去跑，两个分别用这个脚本去跑

第一个这个5261开头的是一个rar文件头，所以我们想到他是个压缩包，把他给导出来，删去没用的

注意粘贴的时候用ctrl+shift+v直接把16进制搞进去

然后发现有密码，那第二个解密应该就是密码了

解密后拿到flag

本题也可以用wireshark的tshark功能啊，也是先把流量包导出来

然后用指令

导出来

在用脚本置换键盘明文

但是这里出现了问题，脚本始终解不出来，不知道问题出在哪里，还是先用第一种做法吧。

4.[CISCN 2023 初赛]被加密的生产流量

到手是一个流量分析，我们打开看了一眼

protocol里面有一种modbus，而且他都是和tcp成对的，我去搜了一下modbus流量

再结合题目描述，我们就应该分析这种流量了

我们直接给他追踪，但是发现他只能追踪TCP流，我们看了一下，一共有14个流，挨个看了一下，发现就第一个有用

粉色最后两位有点像base32加密，我们提出来去base32解密一下

5.[CISCN 2021初赛]robot

拿到手里是有三个东西，发现一个流量包，我们直接去搜

过滤TCP

发现就只有三个，第一个里面发现了坐标

使用脚本把坐标提取出来

然后使用脚本绘图

最后拿到这个以后去转md5

d4f1fb80bc11ffd722861367747c0f10拿到flag

6.[CISCN 2021初赛]tiny traffic

拿到手以后是一个流量包，用wireshark打开后

在导出对象中查看HTTP列表，发现了可以的flag字样

分别是gzip和br文件，我们把他都出来看一下

flag_wrapper解压出来是这个

是一个flag的头部

解压test拿到一个脚本类的东西

搜搜proto3

所以我们猜测secret就是test序列化出来的东西，我们要给他反序列化

从网上找到的proto3的环境

安装之后将test改为，test.proto放入bin文件夹下，然后此文件cmd

输入代码.\protoc.exe --python_out=. test.proto

会得到一个py文件

安装的环境一定要版本高，第一次安了一个低版本的，发现编译出来的test_pb2.py不能使用

后来又换了一个版本高的

然后把secret也放到该文件夹下面，从网上找了一个脚本然后编译

注意这个脚本一定要和上面得到的test_pb2.py和secret放到一个文件夹下面

然后运行拿到结果

将15100450十六进制一下，16453958也十六进制一下，在和其他部分拼接起来拿到flag

最后拼接，加上前面的那个头

CISCN{e66a227af2ce234582bc07889b0fb11146d172a38dc}