纵横网络靶场-简单流量分析-ICMP协议分析

已于 2023-10-17 22:28:07 修改
阅读量360 收藏
点赞数
文章标签: 网络
于 2023-10-16 21:56:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68113265/article/details/133870331
版权

目录

1、简单流量分析

 2、ICMP协议分析

1、简单流量分析

题目描述 

不久前,运维人员在日常安全检查的时候发现现场某设备会不时向某不知名ip发出非正常的ICMP PING包。这引起了运维人员的注意,他在过滤出ICMP包分析并马上开始做应急处理很可能已被攻击的设备。运维人员到底发现了什么?flag形式为 flag{}

wireshark过滤icmp

data内容为base编码,尝试解码之后为乱码。查了网上wp,得知是要提取每个base长度组合成新的密文,再进行base64解码

先tshark提取请求的ip地址的data内容(同个请求和应答都是相同内容)再输入字段形式
 

tshark -r 1.pcap -Y "ip-src_host=192.168.3.73" -e data -T fields > icmp.txt

提取完再写脚本读内容

from binascii import *
from base64 import *
base64_data = ''

with open(r"E:\E-Down\attachment_1579250643_fetus_pcap\icmp.txt","r") as f:
    lines = f.readlines()
    for line in lines:
        line = unhexlify(line.strip())
        data = chr(int(len(line)))
        base64_data += data
        print(base64_data)
        
print(b64decode(base64_data))
 2、ICMP协议分析

题目描述

某厂区遭到黑客恶意扫描,此为安全设备截取的一部分流量包,请尝试分析该流量文件,帮助安全人员找到黑客的行为轨迹,并找到隐藏的FLAG,flag形式为 flag{}

增加后缀打开并过滤icmp

data值就为flag 

He@11
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
纵横网络靶场资源题-过程详解
09-21
涵盖靶场数道题目,解析过程经过了多次认证,并做了多方查阅,过程详细
网络靶场行业概况分析共29页.pdf.zip
11-02
4. **关键技术**:网络靶场的核心技术包括虚拟化技术(如VMware、KVM等),容器技术(Docker)、沙箱技术、动态流量分析、日志分析等,它们共同构建出高度逼真的网络环境。 5. **挑战与发展趋势**:网络靶场面临的...
Wireshark - 【学习笔记】(Ubuntu18.04)、协议分析(IP、ARP、ICMP、DNS、UDP、TCP、DHCP、HTTP、HTTPS、FTP、Telnet)
LawssssCat的博客
11-20 3577
在csdn看到好的文章想转载,无奈找不到转载的功能,只能想办法了。 首先确定原文允许转载 在文章开头处一般有版权声明,如图 转载时要注明出处和作者 如何转载 用谷歌浏览器加载文章地址,打开文章 F12打开Developer Tools,并打开Elements页面 将文章开头部分的文字作为关键字在Elements界面搜索 以此文为例:h...
玄机靶场 通关笔记
weixin_44807430的博客
05-19 629
玄机靶场第六章tomcat流量特征分析-常见攻击事件。玄机靶场第三章权限维持-liux权限维持-隐藏。玄机靶场第二章日志分析redis))应急响,玄机靶场第六章流量特征分析-蚁剑流量分析。玄机靶场第五章inux实战-挖矿。玄机靶场linux,入侵分析。玄机靶场apache日志分析。玄机靶场webshell排查。玄机靶场win10等保。玄机靶场mysql应急。
纵横网络靶场 部分wp
qq_61768489的博客
08-14 1513
生产系统的运维人员在进行日常审计中发现设备存在大量的告警日志,自动化工程师在进行上载分析中也没有发现相关的问题所在,请您帮助进行分析相关设备的存在的问题,flag格式为:flag{hex数据}flag形式为 flag{}。某厂区遭到黑客恶意扫描,此为安全设备截取的一部分流量包,请尝试分析该流量文件,帮助安全人员找到黑客的行为轨迹,并找到隐藏的FLAG,flag形式为 flag{}工业网络中存在的异常,尝试通过分析PACP流量包,分析出流量数据中的异常 点,并拿到FLAG,flag形式为 flag{}。...
纵横靶场工控安全wp:奇怪的文件。
Zhangyannn的博客
07-05 1408
奇怪的文件 题目描述:在上位机中发现奇怪的文件,你能发现其中的秘密吗?flag形式为 flag{} 文件下载下来是三个不知什么格式的文件,一开始采用010分析part1,只能看到文件中似乎存在jpg文件 所以一开始的想法是在kali中直接binwalk提取隐藏文件。 事实证明我的想法还是太过简单了:嘶,竟然提取不出来,foremost也不行= =那为啥文件中会有一个jpg格式的隐藏文件? 好了接下来就到了我们请神的时候了!反手一个wp请神: part1、part2、part3分别对应的是ZIP压缩包的
纵横网络靶场-内存镜像分析-工控业务流量分析
m0_68113265的博客
10-17 271
一黑客通过互联网扫描,发现某企业的互联网入口,经过一系列操作将工控机进行了锁定,你能通过分析内存镜像,破解黑客留下的登录密码吗,并找到FLAG,flag形式为 flag{}对Administrator的最后一段数字进行md5解密,得123456789,再进行md5加密的32位小写密文位flag。某工场在厂区安全检测时,检测到一段异常流量数据包,分析数据包中的异常,找到FLAG,flag形式为 flag{}该功能码用于读取离散输出(线圈)的状态。通常,它用于读取数字输出的状态,例如,获取开关或继电器的状态。
tshark一些常用命令参数解析
nuisthou的博客
09-10 6291
https://www.wireshark.org/docs/man-pages/tshark.html官方阅读文档; 捕获接口:   -i: -i <interface> 指定捕获接口,默认是第一个非本地循环接口;   -f: -f <capture filter> 设置抓包过滤表达式,遵循libpcap过滤语法,这个实在抓包的过程中过滤,如果是分析本地文件则用不到。 ...
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
网络靶场行业整体竞争格局分析共27页.pdf.zip
11-02
很抱歉,根据您提供的信息,"网络靶场行业整体竞争格局分析共27页.pdf.zip"这个文件似乎是一个关于网络靶场行业的分析报告,而压缩包内的子文件名称"赚钱项目"并不直接与网络靶场行业的具体内容相关。由于我无法直接...
vuInhub靶场实战系列-DC-6实战
最新发布
05-29
vuInhub靶场实战系列-DC-6实战
纵横网络靶场--协议相关writeup
潇逗
04-10 921
纵横网络网址: https://game.fengtaisec.com/黑客通过外网进入一家工厂的控制网络,之后对工控网络中的操作员站系统进行了攻击,最终通过工控协议破坏了正常的业务。我们得到了操作员站在攻击前后的网络流量数据包,我们需要分析流量中的蛛丝马迹,找到FLAG,flag形式为 flag{} 下载pcap文件。 方法一: 直接找modbus协议 ,直接length进行排序,长度117也比较可疑,打开就是flag 点击追踪流-》TCP 方法二:拿到流量分析的文件,观察到他现实读取了线圈和保存寄存器
工控安全,纵横网络靶场部分WP(一)
Zhangyannn的博客
06-04 3237
纵横网络靶场部分 wp 前言 最近有了misc、二进制、web的一些基础后,准备开始工控安全的一些题目学习。目前做了几道靶场题目,发现主要题型还是和modbus等工控协议相关的流量分析、misc相关等,所以简单做一个记录,以便以后学习回顾。 黑客的大意 题目描述: 文件下载下来后得到的是一个没有格式的文档,所以我们先用winhex或者010看一下文件是什么格式的 可以看到,文件头显示mail文件是png格式的,所以我们修改后缀名,用png格式打开mail文件,得到如下的图片 可以看到得到的图片里面包含
CTFHUB技能树-Misc-流量分析-ICMP
豆傻小饼干随记
01-13 7798
Tips:代码仅供借鉴学习,还请大家多多思考 ICMP-Data: # coding = utf-8 # --author:valecalida-- from os import system as get_hex # 调用tshark时需要将tshark加入环境变量,且脚本需要与流量包在一个路径下 get_hex("tshark -r icmp_data.pcap -Y \"icmp && icmp.type==8\" -T fields -e data > flag.txt
CTFhub技能树 Misc 流量分析 协议流量分析 ICMP data
FFFFFFMVPhat的博客
11-16 1227
打开pcap包 放入wireshark 搜索ctfhub CTFhub技能树 Misc 流量分析 协议流量分析 ICMP Length 选定ICMP过滤,根据题目提示 找到每一条ICMP流的长度 依次为 99 116 102 104 117 98 123 97 99 98 54 53 57 102 48 50 51 125 拼接而成得 9911610210411798123979998545357102485051125 转换为ASCII码值,即可得到flag ...
[纵横网络靶场社区]简单流量分析
末初的CSDN博客
09-20 1160
每个ICMP包的data字段都带了一段不同的base64 尝试解码了几段,发现啥也不是。之后的思路需要一点点脑洞,但是对于经验比较丰富的misc手来说也不难猜。 经过仔细观察每个ICMP包中的data段中的base64长度都为十进制ASCII码的可显示字符范围。 将这些ICMP请求包中的data字段数据提取出来,返回包的数据和请求包是一样的,提取的时候只提取请求包的即可 使用tshark提取源地址为192.168.3.73的包的data字段: tshark -r fetus_pcap.pcap -Y '.
CTF——流量分析题型整理总结
热门推荐
小锤队长的博客
12-19 4万+
我见过的流量分析类型的题目总结: 一,ping 报文信息 (icmp协议) 二,上传/下载文件(蓝牙obex,http,难:文件的分段上传/下载) 三,sql注入攻击 四,访问特定的加密解密网站(md5,base64) 五,后台扫描+弱密码爆破+菜刀 六,usb流量分析 七,WiFi无线密码破解 八,根据一组流量包了解黑客的具体行为 例题: 一,ping 报文信息 (icm...
纵横靶场:工控蜜罐日志分析
Zeker62的博客
09-03 499
工控安全分析人员在互联网上部署了工控仿真蜜罐,通过蜜罐可抓取并分析互联网上针对工业资产的扫描行为,将存在高危扫描行为的IP加入防火墙黑名单可有效减少工业企业对于互联网的攻击面。分析出日志中针对西门子私有通信协议扫描最多的IP,分析该扫描组织,Flag为该IP的域名,,flag形式为 flag{}。 拿到日志分析文件,使用paython脚本过滤掉这个文件 使它不重样 import fileinpu...
【甄选靶场】Vulnhub百个项目渗透——项目七:DerpNStink-1(sql注入,流量分析
人间体佐菲的博客
08-23 2121
【专为新人甄选】Vulnhub百个项目渗透——项目七:DerpNStink-1
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值