CTF之MISC题目-简单流量

已于 2022-12-30 21:27:33 修改
阅读量1w 收藏 22
点赞数 3
分类专栏: PHP Linux CTF 文章标签: 网络 网络安全 php
于 2022-12-30 21:15:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fredricen/article/details/128497845
版权
Linux 同时被 3 个专栏收录
3 篇文章 0 订阅
订阅专栏
CTF
3 篇文章 0 订阅
订阅专栏
PHP
1 篇文章 0 订阅
订阅专栏

CTF系列文章

第一篇 CTF之密码学题目-classical && coding
第二篇 CTF之MISC题目-西游记
第三篇 CTF之MISC题目-简单流量

文章目录

前言

这是一道关于网络数据包分析的题目,主要是wireshark工具的使用和发现代码、理解代码。同时要了解Linux 的 Shell脚本。

一、题目是什么?

题目

二、解题步骤

1.下载文件、解压

解压文件

可以发现是一个流量包数据(.pcapng后缀,可以用wireshark打开),我们用wireshark工具打开。

2.使用wireshark

打开wireshark
题目中说“c0oola的服务器好像被黑客传上了后门代码,并窃取了机密文件。”,所以只有通过http协议可以上传表单,我们选择菜单文件>导出对象>HTTP...,得到:
导出对象
主要看IP地址、内容类型、流量大小、文件名。文件名中有关shell的,都是可疑报文。我们在通过搜索过滤出Http协议的报文,得到:
http过滤
在众多的http报文中,我们逐一的查看,发现最后一条报文里面含有flag信息,如下:
发现flag
我们发现flag是zip包,那么需要了解zip包的文件格式,zip文件的文件头的16进制是:ZIP Archive (zip),文件头:504B0304。常见的文件头的16进制,可以参考这里

我们接着分析Http报文,在倒数第三条里面,发现了文件头50db0304
发现zip文件头选中那条记录,右键>复制>值,粘贴到文本编辑器中,比如notepad++,如下:
notepad++
504b0304开头的那段文本,复制,打开010 Editor,选择Edit>Paster From>Paster From Hex Text,结果如下:
粘贴16进制文本
另存为flag.zip,保存到桌面,然后解压。

3.解压flag.zip

解压

解压发现需要输入密码,但是我们不知道密码,只能从Http报文里分析,从倒数第二条报文中发现了注入的脚本:
注入的脚步
选择那条记录,右键>复制>值,可以粘贴到文本编辑器中,比如notepad++中如下:
nodepad++脚本
从里面的PHP脚本:

$p=base64_decode(substr($_POST["ya7bc128230026"],2));$s=base64_decode(substr($_POST["x77118dbf56718"],2));

可以知道对于表单项,需要截掉前面两个字符,再进行base64解密,我们可以分别得到表单项“ya7bc128230026”和“x77118dbf56718”的内容:
base64解密
从解码的内容中,我们发现了密码unzip -P P@sSw03d,即P@sSw03d为flag.zip文件的解压密码,解压文件后得到flag.txt。打开如下:
得到flag

最终我们得到了flag:e55f3b4f-b283-45ac-a477-ff1c70226f56

总结

以上就是第三道CTF题目的解题过程和思路,可以发现在解决问题的时候,步步为营,首先要会使用wireshark分析数据包,其次找到关键报文后,要能够发现其中的线索(zip文件),再次要对常见的文件头的16进制要了解,而且还有阅读代码,理解代码的能力,找到脚本中关键点(删除头两个字符之后的base64解密),对关键报文解密获得解压密码。最终可以成功拿到Flag。

fredricen
关注
专栏目录
CTF——MISC习题讲解(流量分析winshark系列~三)
tlovejr的博客
03-16 4985
CTF——MISC习题讲解(流量分析winshark系列~三) 前言 上一章节我们已经做完一场流量分析杂项题目,接下来继续给大家讲解流量分析系列三。 一、ssl流量 首先打开题目得到两个文件,一个是log结尾的文件,另一个就是正常的流分包TLSv1.3都是经过加密的流量,所以我们第一步就应该解密,首先在我们文件里有一个解密的东西,我们进行导入 点击 编辑->首选项-> 然后需要我们把题目中自带的文件直接导入进去看看 导入完后就有http的协议 然后就发现有了flag的字眼 然后就直接TLS流
CTF——MISC习题讲解(流量分析winshark系列~二)
tlovejr的博客
03-15 5365
CTF——MISC习题讲解(流量分析winshark系列) 前言 上一章节我们已经做完一场流量分析杂项题目,接下来继续给大家讲解流量分析系列。 一、misc4 打开题目后除了一个流分包还有一个txt文档 既然都这么告诉了,那就直接在统计里寻找一下这个特殊的PHP文件 然后直接在界面搜索一下这个文件看看 直接能得到flag,其实这个题也就是基础题,并不是太难,只要会统计这个功能几乎就可以的。 flag{FLAG-GehFMsqCeNvof5szVpB2Dmjx} 二、telnet 打开题目后发现还是有一
CTFWireshark流量分析题笔记
最新发布
qq_66917161的博客
09-18 882
X@Y~~~~~~~X@Y或者->|之类的是菜刀的标志位,在解码(选择压缩形式)时应该去除(开始位设为3)
安全攻防知识——CTFMISC
Karka_的博客
08-04 2236
本周技术分享将介绍安全攻防知识中的MISC部分。MISC,中文即杂项,包括隐写、数据还原、脑洞、社会工程、压缩包解密、流量分析取证、与信息安全相关的大数据等。让我们一起来了解更多吧!
CTF_MISC(习题)
若比邻的博客
12-13 3684
一、xctf新手练习:base64stego 下载zip题目,解压发现有密码,考虑zip伪加密,得到解压文档 打开文档,进行base64解密,发现是关于base64解释 从base64原理出发解析 base64包含的字母是A-Za-z0-9+/(26+26+10+2),64个字符用二进制表示,需要6位。这样3个字符base64加密后就会变成4位,如图 如果位数不是6的倍数,需要用“=”补齐,如图 观察上图,倒数第二个字符c的前4位与加密前字符相关,后两位与加密前字符无关,这里就可以藏信息。经过推导,“
【攻防世界misc--流量分析1】
ncnfjdjjd的博客
02-03 1305
延时注入,wireshark ,encodeURI编码
CTFMISC题目-西游记
fredricen的专栏
12-30 8660
CTF中关于MISC(杂项)的题目通常都比较有意思,很考察思维的发散性。下面的这道题就是需要灵活的思考,涉及暴力破解、编码、手动处理文本等多种手段。
CTF--misc
qq_40730029的博客
04-26 898
Test-flag-please-ignore 题目: 下载附件解压,将得到的文件拿到winhex里查看 根据字符串中出现的字母,推测是十六进制字符串,转码为ASCII码得到flag flag{hello_world} Banmabanma 题目:flag格式为flag{xxxx} 下载附件打开是一个图片,猜测是条形码 用在线扫描工具扫码,得到flag https://online-b...
网络空间安全市赛Misc一道简单流量分析
Mark的博客
11-28 1万+
这道题给了一个流量包,内部分了7个小题 1:首先可以在导出HTTP中查看攻击流量 第一题的flag答案便是: [172.16.1.101] 2、查端口,我们找到黑客ip后便过滤ip,输入ip.addr==172.16.1.102 往下分析你会发现很集中的有端口扫描现象,黑客是通过37113来扫描的,你只需要看这些便可,便能得到flag,所以第二题flag为[21,23,80,445,3389,5007] 3/4两题、要分析出黑客最终获得的用户名就得找到黑客什么时候登录的,攻击点在哪里,那就用
CTF--Misc--流量分析
weixin_53425135的博客
10-06 3431
网络流量包流转于各个环节,我们可以通过捕捉网络中流动的数据包,然后查看流量包内部的数据以及相关协议,流量分析、统计等等。一般情况下,捕捉到数据包可以通过过滤规则得到我们想要的有用的信息,也更好的方便我们进行查找关键信息,提高效率。在计算机网络中传输层协议最常见的是TCP协议,我们可以通过对TCP数据流的追踪与分析。以buuctf–被劫持的礼物为例子,进行正常的过滤、tcp数据追踪得到。功能:可以很直观的看到流量包的大致情况,以及快速定位到需要分析的地方。流量包不是普通的网络流量包,是其它类型的流量包。
CTF——MISC习题讲解(流量分析winshark系列~四)
tlovejr的博客
03-17 4815
CTF——MISC习题讲解(流量分析winshark系列~四) 前言 上一章节我们已经做完一场流量分析杂项题目,接下来继续给大家讲解流量分析系列四。 一、工控协议分析 首先打开题目如下 搜索flag发现也没有什么有用的东西 其实在做流分题中还是有一个小技巧,就是看一下长度 排序看到确实有一个长度过于长,而且在下面也有base编码 然后导出分组字节流 这样的话先把对于的东西给去除,然后进行base64解码 发现是个图片,那就直接在这里转换为图片 得到flag{ICS-mms104} 二、管理员的密码就是fl
【安全攻防知识-4】CTFMISC
热门推荐
qq_26579613的博客
03-24 3万+
1、MISC介绍 MISC,中文即杂项,包括隐写,数据还原,脑洞、社会工程、压缩包解密、流量分析取证、与信息安全相关的大数据等。 竞赛过程中解MISC时会涉及到各种脑洞,各种花式技巧,主要考察选手的快速理解、学习能力以及日常知识积累的广度、深度。 2、隐写术 隐写术包括图片、音频、视频等文件隐写,在处理这类问题时,应优先确认该文件的实际类型,可参考下图,查看其文件头信息。 常用以下工具: 1、010editor 查看文件类型 2、Binwalk 合并文件 3、Notepad++ 进行
CTF——MISC习题讲解(流量分析winshark系列)
tlovejr的博客
03-14 7120
CTF——MISC习题讲解(流量分析winshark系列) 前言 上一章节我们已经做完一场比赛的杂项题目,这次给大家介绍一下不一样的,给大家来一期流量分析专题,在这个专题中,所有的题目链接都整理好了,就不给大家一一展示了,大家可以直接统一下载即可。 一、基础篇-----flag明文 首先打开文件发现以下界面 在这个界面直接ctrl+f,直接搜索flag关键字 然后直接查找就可以看到flag 二、基础篇----flag编码 1、bianma1 这个题直接查找flag的话是没有的,所以我们把flag直接编
CTFMISC
fsociety_h4cker的博客
03-25 1008
CTF杂项gif 今天碰到了一道挺有意思的CTFmisc题目题目描述:菜狗截获了一张菜鸡发给菜猫的动态图,却发现另有玄机 附件:下载后可以看到一个zip的安装包,可以利用unzip命令将其解压。解压后可在gif文件夹中发现104张仅由黑白纯色组成的图片: 第一反应有三个方向:二维码,二进制,摩尔斯电码,但仔细分析104张图片不可能组成一张完整的二维码,而摩尔斯电码则可因没有停顿排除。从而锁定...
记一道流量分析题目MISC
hanjinrui15的博客
12-28 857
记一道流量分析题目MISC)前言解题思路1.利用Wireshark导出文件2.大小排序,查看文件3.解密特殊字符4.灵活利用secret.log5.将十六进制重新编码总结 前言 题目压缩包下载过后解压给出了一个名为password.pcap的流量包和一个名为secret.log的日志文件。 解题思路 1.利用Wireshark导出文件 对于流量分析题目来说,我们首先应该将流量包扔进Wireshark中看看能导出什么东西来!!!记得导出对象一般选择的是http,我们可以发现以下内容: 2.大小排序,查
MISC-流量分析
weixin_51086098的博客
04-11 1077
MISC-流量分析 题目: 附件下载链接 使用工具:Wireshark,Base64在线编译器 过程: 下载题目附件得到.pcap文件,使用wireshark打开该文件,之后我尝试搜索字符串flag,得到下图结果 此时我们可以看到发送了一个叫flag.zip的文件,并且文件发送形式为SMTP,即为邮件发送,我们可以知道SMTP常使用TCP 协议,所以我们截取TCP流得到下图 其中我们可以看到全文使用base64加密方式,我们使用上文提到base64在线解密链接,解密1eLA7…这段字符串,得
CTF-MISC(入门|笔记|工具)
小谢的博客
12-25 2685
CTF-MISC(入门|笔记|工具)这篇笔记是我记录的部分MISC,可能存在不齐全的情况,而且笔者的考试以及结束了,可能也不会再更新相关内容了
BUUCTF——MISC流量分析
m0_55854679的博客
07-25 5050
也可以使用关键词phpinfo(),仔细查看每一个符合要求流量包,得到。提示告知是文件传输的流量,那进去过滤http流量包即可,找到关于。,发现flag正确,所以后面看见的邮箱也就不需要试了。等关键字的数据包,另存后使用记事本打开,即可看到。还是上一题的流量包,我们知道发送邮件的协议一般为。在上上一题中,我们得到了黑客的攻击IP。这里要找文件名,因为是后门文件,一般是。我们首先尝试第一眼看到的。,首先过滤一下这个IP;发现次数最多的IP地址。2.或者搜索字符串。...
CTF MISC -------白帽子寻宝记 ‘纪念屈原’
qq_41785205的博客
06-18 548
新人第一次投稿子,如有问题,多见谅:) 这道题是白帽子社区的端午特辑题。 链接:http://www.bmzclub.cn/challenges#纪念屈原
ctf工具之binwalk--windows下(misc).rar
07-30
binwalk是一款用于分析和提取嵌入在二进制文件中的文件和数据的工具。对于CTF比赛来说,binwalk可以帮助我们进行文件分析和提取,从而更好地理解题目并解决问题。 在Windows下使用binwalk,我们首先需要在官方网站(https://github.com/ReFirmLabs/binwalk)下载并安装binwalk的Windows版本。安装完成后,我们可以在命令行中使用binwalk命令进行操作。 拿到CTF题目中的misc.rar文件后,我们可以使用binwalk来分析文件。在命令行中,我们输入以下命令: binwalk misc.rar binwalk会对该文件进行分析,并将分析结果显示在命令行中。它会检测并提取出文件中的隐藏信息,并尝试识别文件中可能存在的其他类型文件(如图像、压缩包等)。 除了显示分析结果外,binwalk还支持提取文件中的隐藏文件。我们可以使用以下命令来提取隐藏文件: binwalk -e misc.rar 这会将隐藏在misc.rar中的文件提取到当前目录中。我们可以通过查看提取出的文件来获得进一步的线索或解答。 总之,binwalk是一款强大的CTF工具,它可以帮助我们分析和提取嵌入在二进制文件中的文件和数据。在Windows下使用binwalk可以通过命令行进行操作,从而更好地解决CTF比赛中的问题
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值