流量分析刷题记录

已于 2023-06-05 00:03:04 修改
阅读量284 收藏
点赞数 1
分类专栏: 流量分析 文章标签: 密码学
于 2023-05-18 23:04:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73512445/article/details/130756970
版权
文章详细介绍了如何通过分析流量包,使用Wireshark工具解密和解析不同类型的加密数据,包括ZIP伪加密、DNS流量、HTTP流中的隐藏信息以及USB键盘流量。通过这些技术手段,作者展示了如何发现并利用安全漏洞,最终获取CTF比赛的flag。
摘要由CSDN通过智能技术生成

NSSCTF

[LitCTF 2023]easy_shark

下载附件,发现是加密的zip
盲猜伪加密,把9改成0
在这里插入图片描述解压得到流量包
在 TCP 追踪流里可以看到整个利用一句话木马注入的过程,但是没有看到 flag 有关的信息
先过滤下http流,在这个流中找到线索
在这里插入图片描述解方程,得到x=17或77
下面一串疑似flag
猜测仿射密码,a和b的值分别为17和77
丢到cyberchef解码
在这里插入图片描述

题目提示还要找到连接的key
在这里插入图片描述直接追踪tcp流,看请求包
在第二个流找到密码
在这里插入图片描述拼一下得到flag

NSSCTF{w13e5hake_1s_a_900d_t3a771c_t001_a}

2023黑盾杯

打开题目发现是dns流量包
一下就发现敏感字符,zip的文件头
过滤一下
命令

dns  and ip.dst==192.168.50.1

在这里插入图片描述先留下来要导出的
在这里插入图片描述接着导出为纯文本
在这里插入图片描述直接导出
在这里插入图片描述然后再去掉没用的,得到十六进制文本
010导入
在这里插入图片描述修改后缀得到zip文件
暴力破解得到密码
在这里插入图片描述
得到flag
在这里插入图片描述

攻防世界

Ditf

打开题目附件,发现是一张图片
丢到kali去binwalk一下
发现里面藏了rar文件,直接分离在这里插入图片描述
但是打开也没有提示密码
估计要改高度,改成1300
在这里插入图片描述
得到密码
在这里插入图片描述

解压完得到流量包
过滤http,再搜一下png
在这里插入图片描述
追踪http流,发现一串字符串
在这里插入图片描述
base64一下,得到flag在这里插入图片描述

m0_01

解压完得到流量包,打开发现是USB的流量
找到Capture,应用为列
在这里插入图片描述
发现是USB键盘流量,那么我们要提取抓获的数据
把流量包放到和tshark同一个文件夹下
输入下面命令

tshark -r 12.pcapng -T fields -e usb.capdata > usbdata.txt

得到数据
在这里插入图片描述

或者在Ubuntu系统输入下面命令得到没有换行的

tshark -r usb.pcapng -T fields -e usb.capdata | sed '/^\s*$/d' > usbdata.txt

手动去掉换行

提取出来的数据可能会带冒号,也可能不带(有可能和wireshark的版本相关),但是一般的脚本都会按照有冒号的数据来识别,这里参考一个添加冒号的脚本

把usbdata.txt放到脚本同一个文件夹下,运行脚本

f=open('usbdata.txt','r')
fi=open('out.txt','w')
while 1:
    a=f.readline().strip()
    if a:
        if len(a)==16: # 鼠标流量的话len改为8
            out=''
            for i in range(0,len(a),2):
                if i+2 != len(a):
                    out+=a[i]+a[i+1]+":"
                else:
                    out+=a[i]+a[i+1]
            fi.write(out)
            fi.write('\n')
    else:
        break

fi.close()

得到带冒号的
在这里插入图片描述
再将鼠标流量转换数据
脚本

normalKeys = {
    "04":"a", "05":"b", "06":"c", "07":"d", "08":"e",
    "09":"f", "0a":"g", "0b":"h", "0c":"i", "0d":"j",
     "0e":"k", "0f":"l", "10":"m", "11":"n", "12":"o",
      "13":"p", "14":"q", "15":"r", "16":"s", "17":"t",
       "18":"u", "19":"v", "1a":"w", "1b":"x", "1c":"y",
        "1d":"z","1e":"1", "1f":"2", "20":"3", "21":"4",
         "22":"5", "23":"6","24":"7","25":"8","26":"9",
         "27":"0","28":"<RET>","29":"<ESC>","2a":"<DEL>", "2b":"\t",
         "2c":"<SPACE>","2d":"-","2e":"=","2f":"[","30":"]","31":"\\",
         "32":"<NON>","33":";","34":"'","35":"<GA>","36":",","37":".",
         "38":"/","39":"<CAP>","3a":"<F1>","3b":"<F2>", "3c":"<F3>","3d":"<F4>",
         "3e":"<F5>","3f":"<F6>","40":"<F7>","41":"<F8>","42":"<F9>","43":"<F10>",
         "44":"<F11>","45":"<F12>"}
shiftKeys = {
    "04":"A", "05":"B", "06":"C", "07":"D", "08":"E",
     "09":"F", "0a":"G", "0b":"H", "0c":"I", "0d":"J",
      "0e":"K", "0f":"L", "10":"M", "11":"N", "12":"O",
       "13":"P", "14":"Q", "15":"R", "16":"S", "17":"T",
        "18":"U", "19":"V", "1a":"W", "1b":"X", "1c":"Y",
         "1d":"Z","1e":"!", "1f":"@", "20":"#", "21":"$",
          "22":"%", "23":"^","24":"&","25":"*","26":"(","27":")",
          "28":"<RET>","29":"<ESC>","2a":"<DEL>", "2b":"\t","2c":"<SPACE>",
          "2d":"_","2e":"+","2f":"{","30":"}","31":"|","32":"<NON>","33":"\"",
          "34":":","35":"<GA>","36":"<","37":">","38":"?","39":"<CAP>","3a":"<F1>",
          "3b":"<F2>", "3c":"<F3>","3d":"<F4>","3e":"<F5>","3f":"<F6>","40":"<F7>",
          "41":"<F8>","42":"<F9>","43":"<F10>","44":"<F11>","45":"<F12>"}
output = []
keys = open('out.txt')
for line in keys:
    try:
        if line[0]!='0' or (line[1]!='0' and line[1]!='2') or line[3]!='0' or line[4]!='0' or line[9]!='0' or line[10]!='0' or line[12]!='0' or line[13]!='0' or line[15]!='0' or line[16]!='0' or line[18]!='0' or line[19]!='0' or line[21]!='0' or line[22]!='0' or line[6:8]=="00":
             continue
        if line[6:8] in normalKeys.keys():
            output += [[normalKeys[line[6:8]]],[shiftKeys[line[6:8]]]][line[1]=='2']
        else:
            output += ['[unknown]']
    except:
        pass

keys.close()

flag=0
print("".join(output))
for i in range(len(output)):
    try:
        a=output.index('<DEL>')
        del output[a]
        del output[a-1]
    except:
        pass

for i in range(len(output)):
    try:
        if output[i]=="<CAP>":
            flag+=1
            output.pop(i)
            if flag==2:
                flag=0
        if flag!=0:
            output[i]=output[i].upper()
    except:
        pass

print ('output: ' + "".join(output))

运行脚本,得到一串字符串
在这里插入图片描述

发现只有 01248 几个数字,猜测是云影密码
解密脚本

#!/usr/bin/python
# -*- coding=utf8 -*-

def de_code(c):
    dic = [chr(i) for i in range(ord("A"), ord("Z") + 1)]
    flag = []
    c2 = [i for i in c.split("0")]
    for i in c2:
        c3 = 0
        for j in i:
            c3 += int(j)
        flag.append(dic[c3 - 1])
    return flag

def encode(plaintext):
    dic = [chr(i) for i in range(ord("A"), ord("Z") + 1)]
    m = [i for i in plaintext]
    tmp = [];flag = []
    for i in range(len(m)):
        for j in range(len(dic)):
            if m[i] == dic[j]:
                tmp.append(j + 1)
    for i in tmp:
        res = ""
        if i >= 8:
            res += int(i/8)*"8"
        if i%8 >=4:
            res += int(i%8/4)*"4"
        if i%4 >=2:
            res += int(i%4/2)*"2"
        if i%2 >= 1:
            res += int(i%2/1)*"1"
        flag.append(res + "0")
    print ("".join(flag)[:-1])

if __name__ == '__main__':
    c = input("输入要解密的数字串:")
    print (de_code(c))
    m_code = input("请输入要加密的数字串:")
    encode (m_code)

得到flag
在这里插入图片描述

流量分析1

解压完附件,得到流量包
先过滤下http,随便点一个追踪一下http流
在这里插入图片描述
在这里插入图片描述
丢到syberchef里,url解码两次
发现是的SSRF+SQL时间盲注
在这里插入图片描述结合时间盲注知识,我们只需要找那些满足执行时间大于等于3秒的包
过滤语句

http.time >= 3


frame.time_delta>3&&http

得到14个包
对每个包进行追踪http流,url二次解码,再对应ASCII码表找出对应字符
如下图第一个ASCII为102的对应的字符是是f
在这里插入图片描述以此类推,拼接起来
得到flag

flag{1qwy2781}
_rev1ve
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
流量分析工具Wireshark64.zip
05-28
流量分析工具Wireshark64.zip
启明HW-流量分析考题
04-24
本资源是启明星辰对于护网的考核题目,主要是流量分析方面的实战题目。
[LitCTF 2023]easy_shark
Welcome To Myon'Blog !
05-25 1421
[LitCTF 2023]easy_shark ;wireshark;zip伪加密;仿射密码;流量分析
CTF从入门到提升(四)基于时间盲注例题及解法_ctf时间盲注流量提取(1)
最新发布
2401_84302369的博客
05-16 286
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
LitCTF2023 MISC WP
xxfsa的博客
05-16 1170
LitCTF(探姬杯)MISC WP
LitCTF2023 郑州轻工业大学首届网络安全赛 WP 部分
Aluxian_的博客
05-14 6700
由于刚接触CTF没多久 还是属于萌新级别的(中专高中生)也没怎么打过比赛记录一下学习的过程大佬绕过即可,后续会继续加油努力。PS:记得所有的flag都改为NSSCTF或者LitCTF
CTF 流量包相关-流量分析(1)
qq_56815564的博客
04-28 1万+
前面的flag不论是直接给你明文,还是有一定的编码,都是比较简单的,像这些十成甚至九成都会是签到题,所以了解一下知道有这种情况就好,重点不再这边另外这里还是给出一下风佬的脚本吧,虽然我感觉用到的几率应该不会很大,如果要用的话,那个破空查flag的工具应该会比较好用,下载的话,风佬的git里面应该有,这里就不给了。
常见web漏洞的流量分析
一个努力学习网安的小牛马
12-10 916
【代码】常见web漏洞的流量分析
一道冰蝎文件流量分析的例题
09-01
在网络安全领域,尤其是CTF(Capture The Flag)竞赛中,冰蝎经常被用于流量分析、数据包嗅探和网络取证。本题目的核心是利用冰蝎进行文件流量分析。 首先,我们要理解什么是文件流量分析。文件流量分析是网络安全...
数据业务网络流量分析专题分析报告.zip
05-09
数据业务网络流量分析专题分析报告 数据业务网络流量分析专题分析报告 数据业务网络流量分析专题分析报告 数据业务网络流量分析专题分析报告 数据业务网络流量分析专题分析报告 数据业务网络流量分析专题分析报告 ...
zdj.rar_流量 分析_流量分析
09-22
流量分析在IT行业中是一项至关重要的任务,特别是在网络管理和网络安全领域。它涉及到对网络上数据传输的监测、解析和解释,以便优化网络性能、检测潜在的网络问题以及防范可能的网络安全威胁。"zdj.rar_流量分析_...
秒解混淆脚本!反混淆神器CyberChef使用指南
weixin_50464560的博客
08-19 1万+
CyberChef是一款强大的编码转换器,集成了多种编码转换的功能,能辅助大家方便快捷地解密出恶意脚本。 概述CyberChef是一款强大的编码转换器,地址在:https://gchq.github.io/CyberChef/它简单易懂易上手,集成了多种编码转换的功能,如:base64加解密、hex转换、char转换、正则表达式等,能辅助大家方便快捷地解密出恶意脚本。其界面如下图,最左边的Operations是转换工具集,把挑选好的工具经过DIY组合及排序拖拽到Recipe中,就可以对Input中的字符串
两道CTF流量分析题分享
seek_2022的博客
03-10 2083
本文分享了两道CTF流量分析题,分析的过程充满着许多乐趣,希望本文分享的两道题的分析对大家学习相关技能有帮助。
CTF_流量日志分析】sleep函数的二分法的盲注日志分析
serendipity1130的博客
10-16 2218
1.分析日志找到进行盲注判断的位置进行分析: 分析过程 : 拿一条举例,该语句表述当判断当第22位的ascii码大于100时,将延迟1秒,所以将继续进行二分法的拆分,根据大于102和101时没有延时说明小于101,此时判断是否等于101,因此101的ascii对应的应该是盲注判断出来的字符串。 2.根据以上分析,可以手动提取不等于的ascii码进行字符串转换也可以写脚本: import urllib.parse import requests,re f = open('紧急网络安全事件.lo
2021年云南省职工职业技能大赛CTF流量分析题(wireshark)WriteUp
weixin_43137410的博客
10-09 4295
2021年云南省职工职业技能大赛CTF流量分析题(wireshark)WriteUp .0x00 前言 本人作为业余爱好者参加了2021年云南省职工职业技能大赛的网络安全比赛,比赛形式以CTF+理论考核+模拟渗透的形式,今天分享一题流量分析题的解题过程。 0x01 题目分析 题目名很直接,就叫wireshark,将压缩文件解压之后是一张名为“target.jpeg”的图片。 0x02 解析图片 目标明确,直接上binwalk。 通过binwalk分析,图片内还藏有一个zip压缩文件,使用命令 binwal
CTF流量分析-题集2-[闽盾杯 2021]DNS协议分析
m0_51198141的博客
11-30 1149
网络安全流量分析CTF,DNS协议
CTF-时间盲注
黎先生的博客
10-20 681
基于时间的盲注 sleep 1.配合if条件触发 IF() select if(1,2,3) substr(str, position, len) substring(str, position, len) == substring(str FROM position FOR len) substring_index(被截取的字段, 关键字, 关键字出现的次数) select * from us...
CTF的两道比较不错的流量分析
热门推荐
晚安這個未知的世界
12-31 2万+
前言 前段时间,在一个群里面有两个人同时把两道流量分析题发出来,我做了一下感觉这两道题的质量很不错,所以就分享一下wp给大家,希望对大家有帮助。 Traffic.pcapng——一个10M的大小流量包 直接过滤http协议,可以看出这个流量包捕捉的是数据库注入流量 直接去分析一波,发现是用盲注的方式注入,由于本人盲注的技术太菜了,是菜鸡,所以请了一位大佬9u4ck给我一番的教程指导,我才弄懂,以下是大佬发我的教程: 直接把http协议里面的所有包都全复制到txt文件里面 然后我们过滤掉一下无用的,提取关
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_rev1ve

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值