菜刀pcap

最新推荐文章于 2024-07-13 09:26:38 发布
最新推荐文章于 2024-07-13 09:26:38 发布
阅读量183 收藏 2
点赞数 6
分类专栏: CTF 文章标签: 网络安全 wireshark 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63554401/article/details/139126273
版权

misc9

key{8769fe393f2b998fa6a11afe2bfcd65e}

中国菜刀

下载解压后为一个pcap文件,打开这个文件需要提前下载好wireshark:

可以看到主要是10.211.55.61和192.168.1.145这两个IP地址的相互传输。题目提示是菜刀,那么肯定是其中一个是攻击方,通过菜刀连接上了服务器,然后从服务器端下载了flag。

那么TCP应当是正常报文传输和三次握手环节,直接过滤,查看菜刀使用的HTTP协议:

一下子只剩六种,可以看到主要分三次,都是post发送请求,然后回应。一个个进行查看:

第一次是下载3.php这个文件,暂且不管,继续看,仔细一看,post请求好像都是3.php,奇了怪了。

查看回应:

这个回应(第一个)应该是返回了一个html?文件,可能。

这个(第二个)很明显是一句话命令,不用看。

最后一个返回乱码。

那么只用仔细查看第一个返回内容和最后一个返回内容。那么先把第一个和最后一个内容复制下来:

选择as a Hex Stream,作为一个16进制流。

老规矩,存放进文件,然后010导入:

然后进行查看:

第一个不太像flag

可以看出来是一个文件,但是不知道文件头,进一步分析

冲洗分析post请求包:

发现里面有个base64编码,尝试解码

可以看到尝试请求flag.tar.gz,思路对了,那么直接讲刚刚生成的文件保存为flag.tar.gz

gz是很明显的Linux环境下解压,那么直接在kali下解压吧

解压一直报错T_T

仔细查找发现,前面复制的时候一直多复制了一串X@Y,得把前后这两个都得删除(注意是两个)(注意是两个)(注意是两个)(注意是两个)(注意是两个)(注意是两个)

可恶啊

然后得到flag

key{8769fe393f2b998fa6a11afe2bfcd65e}

白鹿依海
关注
  • 6
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
BugKu-分析-中国菜刀(两种法)
渗透、攻防、CTF、编程
07-05 1917
文件caidao.zip,压后caidao.pcapng 分析两种方法:流量包里导出压缩包和binwalk直接分析文件 方法一:流量包tcp流导出压缩包 搜索http,总共6个流浪包,逐个分析
【BUGKU】CTF >>分析---中国菜刀
Chenamao的博客
08-09 2158
目录 【BUGKU】CTF >>分析---中国菜刀 【BUGKU】CTF >>分析---中国菜刀 压完成后发现为pcapng文件格式 利用wireshark (我们的小鲨鱼)打开文件。 第一个数据包: 可以看出客户端用POST方式访问服务器的3.PHP文件 POST请求 123=array_map("ass"."ert",array("ev"."Al(\"\\\$xx%3D\\\"Ba"."SE6"."4_dEc"."O..
wireshark分析菜刀。其实并没有看懂。。。。。
weixin_44722125的博客
05-05 1790
wireshark简介 Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。 emmm其实就是抓包 Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。网络封包分析软件的功能可想像成 “电工技师使用电表来量测电流、电压、电阻” 的工作 - 只是将场景移植到网络上,并将电线替换成网络线。在...
记录CTF misc之菜刀流量分析
黑面狐
01-22 9777
一、前言 昨天参加了一场CTF比赛,做了一道菜刀流量分析的题目,因为之前流量分析这块不是很熟悉,加上实战CTF也比较少走了不少弯路。 二、流量分析 菜刀是常见的连接webshell的工具,连接webshell会有明显的GET或POST请求。所以我们只需要找数据包的HTTP请求就行了。 找到第一个HTTP请求,选择追踪HTTP流,进行分析 我们看到webshell就是/upload
国科大网络协议安全大作业——分析流量并使用Snort规则进行检测_snort检测pcap中的恶意流量
2401_84253132的博客
04-27 916
出现这个界面,是选择监听的网络块,保持默认,使用方向键,然后点击OK使用以下代码查看snort是否安装成功snort -V可以看到snort安装成功。
攻防世界菜狗也怕菜刀
ctf_web_pwn的博客
12-19 181
所用工具 wireshark 010editor 首先 拿到题目发现是pcap文件,wireshark进行流量分析,同过协议分级查看流量分布,发现http协议存在txt文件: 所以,猜测HTTP中含有flag,使用搜索命令http contains flag进行搜索,逐条查看发现最后一条藏有flag: ascaII pk开头,hex:50 4b 03 04文件头发现存在压缩包,将数据流导出后缀试用zip,得到含flag压缩包,压flag发现存在密码。 一开始使用爆破工具和密码库进行尝试后发现这辈子是爆不出
CTF数据分析题详
qq_68163788的博客
01-04 1864
在CTF(Capture The Flag)比赛中,数据分析题通常涉及对提供的数据集进行分析、处理和提取有用信息的挑战。这些数据集可能是文本文件、网络流量、日志文件、加密数据等。决数据分析题需要参赛者具备数据处理、编程和分析技能。由于每个CTF比赛的数据分析题目都有不同的特点和要求,因此决方法也各有不同。通常需要参赛者具备良好的编程能力、数据分析能力和创新思维来决这类挑战。
[攻防世界]功夫再高也怕菜刀(misc)
qq619337301的博客
10-10 550
题目: 给了一个pcap包。 思路: 打开pcap包,过滤其他,只留下http流 发现其中一个流的内容,16进制表示出现50 4B 03 04,显然是一个压缩包,复制出来在winhex中保存为压缩包。 压缩包中有flag.txt,但是需要密码才能打开 尝试暴力破,但是失败了。再看看其他http流,发现FF D8 FF,显然是jpg图片 复制到winhex中保存...
用于sip通话pcap音频
03-21
标题中的“用于sip通话pcap音频”表明这是一个与网络通信协议SIP(Session Initiation Protocol)和网络数据包捕获工具pcap相关的主题。在IT领域,SIP是一种用于建立、管理和终止多媒体通信会话(如语音和视频通话)...
pcap数据包
12-04
pcap数据包,提取出其中内容,http协议,https,icmp.dns
pop3.pcap_pop3.pcap_
10-02
这个“pop3.pcap”文件是一个网络数据包捕获文件,通常由像Wireshark这样的网络分析工具创建或读取。它包含了在POP3协议交互过程中网络上交换的所有数据包的详细信息。 POP3协议主要由以下部分组成: 1. **连接...
PCap04 datasheet
04-28
PCap04电容数字转换器规格详PCap04是一款集成数字信号处理器(DSP)的电容到数字转换器(CDC),专为芯片上的数据后处理设计。其前端基于ams的PICOCAP原理,这一转换原理在功率消耗、分辨率和速度方面提供了...
PCap官方数据手册
02-20
PCap04官方的手册,在官网找不到的就来这里下载吧。
一文读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8333
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
Wireshark 对 https 请求抓包并展示为明文
༺ bestcxx的专栏 ༻
07-10 985
我们监听 https 需要连接外网,我本地通过 WIFI 连接,故选择 Wi-Fi:en0。可以在具体某一条上,右键->Follow ,选择 HTTP 或者 TLS 都是可以的。作用是,Chrome 浏览器会把 https 请求中的秘钥保存到指定的文件,下一步。比如我们访问 https://www.baidu.com ,然后随便搜什么。如果没有本文的设置,左下角这一块内容是没有的,只会有一个密文信息。如果是想监听本地,就选择 Loopback:lo0。此时捕获的包已经是明文,可以通过域名进行过滤。
[misc]-流量包-wireshark-icmp
最新发布
mails2008的专栏
07-13 164
提取data长度: tshark.exe -r 1.pcapng -T fields -e data.len > length.txt。使用python析这个文件,剔除异常值,每8个取一个值,得到flag。wireshark打开,大部分都是icmp,查看data部分。这题是脑洞题目,脱离实际?
FastAPI 学习之路(四十九)WebSockets(五)修复接口测试中的问题
mr~li的博客
07-12 427
"""websocket 链接管理""""""存放链接""""""链接""""""断开链接,移除"""
omnet pcap
05-10
Omnet++是一个模块化、可扩展、组件化的C++网络仿真框架,可用于网络协议的仿真和分析。它提供了一个强大的仿真引擎,可以进行大规模网络仿真,并且能够方便地扩展和定制。在Omnet++中,可以方便地实现各种协议和算法,并进行详细的性能分析。 PCAPPacket Capture)是一种在计算机网络中捕获数据包的技术。它可以捕获网络流量并将其保存到文件中,以供后续分析使用。在Omnet++中,PCAP被用于捕获仿真过程中的数据包,以便进行性能分析和调试。Omnet++提供了一系列的PCAP相关函数和类,可以方便地实现数据包的捕获和保存。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

白鹿依海

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值