目录
1、简单流量分析
题目描述
不久前,运维人员在日常安全检查的时候发现现场某设备会不时向某不知名ip发出非正常的ICMP PING包。这引起了运维人员的注意,他在过滤出ICMP包分析并马上开始做应急处理很可能已被攻击的设备。运维人员到底发现了什么?flag形式为 flag{}
wireshark过滤icmp
data内容为base编码,尝试解码之后为乱码。查了网上wp,得知是要提取每个base长度组合成新的密文,再进行base64解码
先tshark提取请求的ip地址的data内容(同个请求和应答都是相同内容)再输入字段形式
tshark -r 1.pcap -Y "ip-src_host=192.168.3.73" -e data -T fields > icmp.txt
提取完再写脚本读内容
from binascii import *
from base64 import *
base64_data = ''
with open(r"E:\E-Down\attachment_1579250643_fetus_pcap\icmp.txt","r") as f:
lines = f.readlines()
for line in lines:
line = unhexlify(line.strip())
data = chr(int(len(line)))
base64_data += data
print(base64_data)
print(b64decode(base64_data))
2、ICMP协议分析
题目描述
某厂区遭到黑客恶意扫描,此为安全设备截取的一部分流量包,请尝试分析该流量文件,帮助安全人员找到黑客的行为轨迹,并找到隐藏的FLAG,flag形式为 flag{}
增加后缀打开并过滤icmp
data值就为flag