【ctf】whireshark流量分析之ping篇

已于 2023-12-21 08:59:45 修改
阅读量1k 收藏 20
点赞数 25
文章标签: 安全 网络
于 2023-12-16 11:41:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71274136/article/details/135028345
版权

目录

简介

ping.pcap(Data位)

提取的方法tshark:

ttl.pcap(ip.ttl)

TTl.pcapng(ip.ttl)

总结

简介

这篇文件是给我学习ctf的学弟写的,最近我会更新一些流量分析的做题技巧和知识。当然我也就是多做了一些题,理论方面也不是那么清楚,有问题大家指出来就行。

今天要学习的是流量分析最简单的ping篇,这类题很简单,一般都是签到题,或者白给的分,学习好技巧,考点就那么几个,这样就能快速拿下一血

题目链接:链接:https://pan.baidu.com/s/1XpCiFhYJrYRDEc_gDRWM0Q?pwd=cvi2 
提取码:cvi2

tips:*表示可以在网上搜到的题

ping.pcap(Data位)

打开就能看见f,不出意外,下一个包就是l,下下一个就是a。。。。。。

连起来就是flag{xxxxxxxxxxxxx}

然后你就会问了,为啥看这里,我怎么不提取其他地方?

当然是因我浏览过了一遍啊,发现了规律呀。

再者,这就是他的第一个考点,data位

提取的方法tshark:

可以手动提取,这一题就38个流量包,手动也行

但是我这里教你用另一个方法——tshark

tshark是下载wireshark的时候自带的,所以不用单独下载。

thsark的作用就是在你分析完流量后,想批量提取数据时候用的一个工具,贼好用。

开搞开搞

打开你的wireshark的属性,选择打开文件位置

就会发现自带的tshark

为了方便下次启动,跟着我设置一下吧

找到这个位置C:\Windows\System32\

右键创建一个快捷键

右键属性,起始位置改一下,改到你都wireshark里面就行

然后我们就可以直接使用了

现在开始使用,首先要确定你的过滤位置和你的过滤条件

我们做的这个是没有过滤条件的,所以不考虑了,过滤位置这样找

发现突破点

右键,作为过滤器应用,选中

我们要的是data.data这个参数

现在开始构造语句

tshark.exe -r D:\桌面\流量分析\ping\ping.pcap -T fields -e data.data

tips:复制一个文件到终端里,可以自动变成该文件的绝对路径

输出后是这样的,需要对字符进行处理,这是一个正则使用的网站——regex,我已经弄成离线的了

最后过滤0a即可,然后做一下处理,把换行变成",0x",因为他们本来就是16进制数,所以要有0x表示,以防一会写脚本报错“[”未关闭Pylance

然后我们写一下python脚本

# ping
con = [0x66,0x6c,0x61,0x67,0x7b,0x64,0x63,0x37,0x36,0x61,0x31,0x65,0x65,0x65,0x36,0x65,0x33,0x38,0x32,0x32,0x38,0x37,0x37,0x65,0x64,0x36,0x32,0x37,0x65,0x30,0x61,0x30,0x34,0x61,0x62,0x34,0x61,0x7d]
flag = ''.join(chr(i) for i in con)
print(flag)

我还以为报错,意外chr不识别16进制呢,要是不识别就用chr(int(i,16))来转10进制

flag{dc76a1eee6e3822877ed627e0a04ab4a}

ttl.pcap(ip.ttl)

浏览了一遍,发现大概就是L的这个位置

你问为什么不是I的位置?

一般就是这样的加密,而不是直接的flag,常用的就是base,base可没有@

准备过滤条件

得出是ip.ttl,这个是常考的点

构造语句

tshark.exe -r D:\桌面\流量分析\ping\ttl.pcap -T fields -e ip.ttl

处理字符串,放到脚本里,这次是十进制的

con = [76, 74, 87, 88, 81, 50, 67, 50, 71,
       78, 50, 70, 71, 87, 75, 86, 74, 90,
       50, 71, 73, 51, 67, 87, 73, 90, 73,
       87, 87, 52, 66, 87, 75, 69, 89, 86,
       69, 85, 67, 86, 71, 70, 70, 71, 85,
       90, 67, 87, 78, 66, 88, 70, 83, 50,
       50, 79, 75, 66, 82, 70, 81, 51, 67,
       69, 75, 82, 68, 85, 77, 51, 51, 69,
       73, 86, 74, 72, 65, 86, 75, 89, 71,
       65, 54, 81, 61, 61, 61, 61]
flag = ''.join(chr(i) for i in con)
print(flag)

flag{RaCmvUEBJzCTOSRcuXgbCOmyCLahtDiQ}

TTl.pcapng(ip.ttl)

浏览一遍,差不多是这个位置

也是ttl的位置

tshark.exe -r D:\桌面\流量分析\ping\ttl.pcap -T fields -e ip.ttl

上脚本

处理中间多余的0(害怕多清理了,结果徐晃)

解密

flag{86f68593-b885-4f9d-b389-f62920b021d6}

总结

tshark的使用

-r后面跟文件就行

-e后面跟过滤结果

-T后面的参数

  • -T fields:以逗号分隔的格式输出指定的字段(例如-tshark -r file.pcap -T fields -e frame.number -e ip.src)
  • -T json:以JSON格式输出数据包信息
  • -T pdml:以XML格式输出数据包信息
  • -T psml:以XML格式输出分组摘要信息
  • -T text:以文本格式输出数据包信息(好像没有这个,但是ai说有)

-Y后面跟过滤的条件,这个以后讲,很好用的一个参数,也很好用。

一大口木
关注
  • 25
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF工具之wireshark(misc).rar
09-16
此工具用于学习交流用途,切勿用于其它用途。
一道冰蝎文件流量分析的例题
09-01
网络安全领域,尤其是CTF(Capture The Flag)竞赛中,冰蝎经常被用于流量分析、数据包嗅探和网络取证。本题目的核心是利用冰蝎进行文件流量分析。 首先,我们要理解什么是文件流量分析。文件流量分析网络安全...
两道CTF流量分析题分享
seek_2022的博客
03-10 2006
本文分享了两道CTF流量分析题,分析的过程充满着许多乐趣,希望本文分享的两道题的分析对大家学习相关技能有帮助。
CTF流量分析wireshark使用
2401_84466316的博客
05-28 1086
指定URI:http.request.uri==“/img/logo-edu.gif”筛选HTTP请求的URL为/img/logo-edu.gif的流量包。pcap流量包的分析通常都是通过图形化的网络嗅探器——wireshark进行的,这款嗅探器经过众多开发者的不断完善,现在已经成为使用最为广泛的安全工具之一。arp/icmp/http/ftp/dns/ip 筛选协议为arp/icmp/http/ftp/dns/ip的流量包。tcp.srcport == 80 筛选tcp协议的源端口为80 的流量包。
ctf练习之wireshark
SDM_JH的博客
07-22 2768
1.用wireshark打开题目所给的pcap文件,在19号SMB数据包中发现password,在16号数据包中发现Encryption Key。 2.下载彩虹表,使用John the Ripple工具破解密码(Linux环境)。构造一个John格式的hash文件命名为password.txt。 它的格式为:user::domain:ANSI_Password:Unicode_Password:Encryption_Key 3.执行如下命令:netntlm.pl --seed “NETLMIS” --
CTFwireshark数据包分析(初学者必看)
weixin_52620919的博客
07-29 4558
预备知识 TCP/IP TCP是一种面向连接(连接导向)的、可靠的、基于字节流的运输层通信协议。在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接: 【第一次握手】:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SENT状态,等待服务器确认; SYN:同步序列编号(Synchronize Sequence Numbers)。 【第二次握手】:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),
CTFwireshark之文件还原
weixin_52620919的博客
07-30 2613
简介: 本示例主要介绍了wireshark文件还原技术,通过本实验的学习,你能够了解wireshark的使用方法, 能够通过分析还原网络数据发送现场,并将发送的信息通过wireshark和winhex还原成原文件。 【WiresharkWireshark从功能上来看,只是监听网络流量信息并完整的记录下来,起到还原现场的作用。Winhex是一款非常优秀的16进制收费的编辑器。 题目 黑客A通过ARP欺骗,使用wireshark获取了整个局域网内的网络流量信息。 无意之中,他发现有人在某个网站上上传了一份
两道CTF流量分析题,寻找flag!
03-10
题目1:在流量中寻找管理员的密码!...问题1:安全审计设备上捕获了一条OPC流量,疑似遭遇黑客攻击,请分析出黑客攻击的流量编号。(仅需找到流量编号即可) 问题2:找出藏匿在流量包中的flag(格式为flag{})
启明HW-流量分析考题
04-24
本资源是启明星辰对于护网的考核题目,主要是流量分析方面的实战题目。
CTF-流量分析有点难搞
最新发布
06-14
集团某互联网应用被黑客攻击,重要文件被窃取,管理员抓取了攻击流量包,请协助管理员分析流量包并回答下列问题: 被攻击的应用程序使用的密钥是_______(填写应用程序秘钥)
第四届Xman个人排位赛流量分析之strange_ssid复现
12-29
第四届Xman个人排位赛流量分析之strange_ssid复现 查找SSID找到一个md5,爆破之,得flag{n3k0}
CTF流量分析-Wireshark基本用法
m0_56655241的博客
04-27 3353
Wireshark 简介 Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。— 百度百科 Wireshark基本使用方法 主界面 说明 常用功能按钮从左到右一次是: 开始新的抓包 停止抓包 重新开始抓包 抓包设置 打开已保存的抓包文件 保存抓包文件 关闭抓包文件 重新加载抓包文件 查找分组 转到前一个分组 转到后一个分组 转到特定的分组
ctfwhireshark流量分析之tcp_杂
一大口木的博客
12-21 1747
流量分析之tcp_杂
流量隐写与wireshark使用——ctf公开课笔记记录
m0_75196987的博客
04-15 2253
流量隐写&wireshark使用。——来自 长空实验室ctf新兵训练营。不建议广泛传播。
ctf-ping命令执行
qq_45414878的博客
11-08 9445
[GXYCTF2019]Ping Ping Ping 现在做一下关于常见的绕过ping执行其他命令的姿势,启动环境,连接并输入参数,查看当前目录下都有什么 ls命令没有被过滤,并且知道flag就在这个目录下面,用cat查看的flag的时候发现空格被禁用,绕过空格常用的方法有 {cat,flag.php} cat${IFS}flag.php cat$IFS$9flag.php cat<flag.php cat<>flag.php kg=$'\x20flag.php'&&c
CTFping命令绕过及符号用法
Hardworking666的博客
10-13 9788
文章目录一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings warnings.filterwarnings('ig..
经典ctf ping题目详解 青少年CTF-WEB-PingMe02
m0_73734159的博客
11-18 1328
如果想效率更更高,我们还可以自己生成Linux常见列出目录文件和查看文件等命令和常用字符以及关键字的字典,并使用BurpSuite进行爆破查看那个命令和字符以及关键字的过滤情况。'作为命令之间的连接符,当上一个命令完成后,继续执行下一个命令。当然Linux系统查看文件内容的命令还有很多,这里就举着三个例子了。因为f开头的文件只有flag这一个文件,所以查的就是flag。cat是Linux系统里面最常见的查看文件内容的命令。ls是Linux系统里面的列出目录文件的命令。查看根目录下flag文件的内容。
wireshark工具使用(超详细的保姆级教程,ctf小白必会)
qq_68064663的博客
10-14 1724
流量分析工具wireshark,杂项小白手必学,一文搞定基础
ctf流量分析arp
05-30
CTF流量分析ARP是指在网络安全比赛中,通过分析ARP协议的流量来获取关键信息,以便攻击或保护目标系统。ARP协议是用于将IP地址映射到物理地址的协议,通过分析ARP流量可以获得网络拓扑结构、IP地址和MAC地址的对应关系等信息。在CTF比赛中,通过分析ARP流量可以识别出恶意主机、欺骗攻击等安全问题,进而采取相应措施保护系统安全。 相关问题: 1. 什么是ARP协议? 2. ARP协议有哪些作用? 3. 如何防止ARP欺骗攻击? 4. 什么是网络拓扑结构?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值