【CTF流量分析:从入门到精通】

最新推荐文章于 2024-09-20 20:54:16 发布
最新推荐文章于 2024-09-20 20:54:16 发布
阅读量1.4w 收藏 21
点赞数 20
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33295410/article/details/136319170
版权

CTF(Capture The Flag)是一种网络安全竞赛,其中流量分析是一种常见的题型。流量分析就是通过分析网络流量包,提取出有用的信息,如密码、密钥、文件、flag等。流量分析需要掌握一些基本的网络协议知识,以及一些常用的工具和技巧。本文将介绍流量分析的基本概念,常见的题型和解题方法,以及一些实战案例,帮助你从入门到精通流量分析。

流量分析的基本概念

流量包(packet)是网络通信中的最小单位,它包含了发送方和接收方的地址、协议类型、数据内容等信息。流量包按照不同的层次可以分为物理层、数据链路层、网络层、传输层、应用层等,每一层都有相应的协议和格式。流量分析就是通过观察和解析流量包的各个层次的信息,找出其中的规律和异常,从而达到目的。

流量分析的工具有很多,其中最常用的是wireshark,它是一个图形化的网络嗅探器,可以捕获和分析实时或离线的流量包,支持多种协议和过滤器,还有一些高级功能,如数据包还原、数据提取、流量统计等。除了wireshark,还有一些其他的工具,如tcpdump、tshark、foremost、binwalk等,它们各有特点和优势,可以根据不同的场景和需求选择使用。

流量分析的技巧有很多,其中最重要的是过滤和搜索。过滤是指根据一定的条件,筛选出感兴趣的流量包,如协议类型、端口号、IP地址、数据长度等。搜索是指根据一定的关键字,查找出包含该关键字的流量包,如字符串、十六进制、正则表达式等。通过过滤和搜索,可以快速定位到目标流量包,从而节省时间和精力。

流量分析的常见题型和解题方法

流量分析的题型有很多,但大致可以分为以下几类:

  • ping报文信息:这类题目是通过分析icmp协议的ping报文,提取出其中隐藏的信息,如flag、文件、命令等。解题方法是观察每个ping报文的数据部分,找出其中的规律和异常,或者用脚本处理。
  • 上传/下载文件:这类题目是通过分析http协议或其他协议的上传/下载文件的流量,提取出其中的文件内容,如压缩包、图片、文本等。解题方法是使用wireshark的导出对象功能,或者手动提取数据部分,或者用foremost等工具分离文件。
  • sql注入攻击:这类题目是通过分析http协议的sql注入攻击的流量,提取出其中的数据库信息,如表名、字段名、数据内容等。解题方法是观察每个http请求的参数和响应,找出其中的注入语句和结果,或者用sqlmap等工具自动化注入。
  • 访问特定的加密解密网站:这类题目是通过分析http协议的访问特定的加密解密网站的流量,提取出其中的加密或解密的内容,如md5、base64、aes等。解题方法是观察每个http请求的参数和响应,找出其中的加密或解密的内容,或者用在线工具或脚本进行加密或解密。
  • 后台扫描+弱密码爆破+菜刀:这类题目是通过分析http协议的后台扫描+弱密码爆破+菜刀的流量,提取出其中的后台地址、用户名、密码、文件内容等。解题方法是观察每个http请求的参数和响应,找出其中的扫描工具、爆破工具、菜刀工具的特征和结果,或者用相应的工具进行验证和操作。
  • usb流量分析:这类题目是通过分析usb协议的流量,提取出其中的键盘输入、鼠标点击、文件拷贝等信息。解题方法是使用wireshark的usb键盘解码器,或者手动解析usb数据包,或者用脚本处理。
  • WiFi无线密码破解:这类题目是通过分析WiFi协议的流量,提取出其中的无线密码,如wep、wpa、wpa2等。解题方法是使用wireshark的无线密码解码器,或者使用aircrack-ng等工具进行破解。
  • 根据一组流量包了解黑客的具体行为:这类题目是通过分析一组复杂的流量包,了解黑客的具体行为,如攻击方式、攻击目标、攻击结果等。解题方法是综合运用上述的各种工具和技巧,分析流量包的各个层次和细节,还原黑客的攻击过程和思路。

流量分析的实战案例

下面我们来看几个流量分析的实战案例,分别涉及到不同的题型和方法,帮助你加深理解和掌握流量分析的技能。

案例一:ping报文信息

这是一个来自第八届极客大挑战的题目,题目给出了一个流量包,要求提取出其中的flag。

打开流量包,发现有一大段的icmp协议的包,发现在icmp报文中夹杂着flag:

 

这里可以依次查看每一个icmp报文数据,然后得到flag:

flag{p1ng_p0ng_p1ng_p0ng}

也可以用脚本处理,如下:

import pyshark
cap = pyshark.FileCapture('ping.pcap')
flag = ''
for packet in cap:
    data = packet[packet.highest_layer].data
    flag += chr(int(data, 16))
cap.close()
print(flag)

案例二:上传/下载文件

这是一个来自第七季极客大挑战的题目,题目给出了一个流量包,要求提取出其中的文件内容。

打开流量包,发现有一些http协议的包,其中有一个包的数据部分包含了一个rar压缩包:

 

要提取出这个rar包,有两种方法:

方法一:直接复制数据块,然后复制到winhex中,转存为rar。

复制数据块 as Hex stream > 在winhex中粘贴 为 ASCII HEX > 删除前面的 多余信息 > 保存为 rar

方法二:用foremost分离:

foremost -i http.pcap -o output

在output文件夹中可以看的分离出来的文件。

 

M1r4n
关注
专栏目录
CTF——流量分析题型整理总结
小锤队长的博客
12-19 5万+
我见过的流量分析类型的题目总结: 一,ping 报文信息 (icmp协议) 二,上传/下载文件(蓝牙obex,http,难:文件的分段上传/下载) 三,sql注入攻击 四,访问特定的加密解密网站(md5,base64) 五,后台扫描+弱密码爆破+菜刀 六,usb流量分析 七,WiFi无线密码破解 八,根据一组流量包了解黑客的具体行为 例题: 一,ping 报文信息 (icm...
2021年“绿城杯”网络安全大赛
09-30
2021年“绿城杯”网络安全大赛
掌握CTF流量分析的利器:流量包分析实战指南
最新发布
gitblog_06590的博客
09-20 914
掌握CTF流量分析的利器:流量包分析实战指南 CTF流量包相关-流量分析1 项目地址: https://gitcode.com/Resource-Bundle-Collection/7362a ...
流量分析入门
qq_46441427的博客
02-10 1万+
前言 个人一直对流量分析…正好看到了一些相关书籍资料,自己向前辈师傅们学习以后整理一些资料来总结一下 互联网五层模型 在计算机网络这门课中介绍了OSI模型及互联网五层模型: 在我们使用抓包软件进行流量分析的时候,抓到的包往往含有数据链路层、网络层、传输层,应用层四个部分,其中一部分在传递到不同层面的时候会被丢弃。我们的wireshark抓的包工作在数据链路层,而burpsuite抓的http包则工作在应用层 wireshark的用法 打开wireshark,可以看到 这是我们的一些接口,我现在用的是Wif
CTF中的网络流量分析:工具、技术与实战案例
weixin_65409651的博客
08-26 1440
网络流量分析是一项通过捕获和检查网络数据包来解析网络活动的技术。分析者可以识别网络中的恶意活动、异常行为或数据泄露等问题。网络流量分析CTF竞赛中常用于重建网络攻击过程、提取敏感数据、识别命令与控制(C2)通信等任务。
ctf流量分析
热门推荐
xixixi
08-25 3万+
例题记录 用wireshark打开流量包 找到三次握手之后的http包 User-Agent里面有多个浏览器的名字,并且存在AppleWebkit,所以该攻击者利用了awvs扫描 awvs数据包判断标准:User-Agent里面有多个浏览器且存在AppleWebkit ...
流量分析ctf
m0_53067332的博客
01-10 8399
题目介绍 该题为流量分析,当黑客入侵我们的网络是,我们可以需要通过一系列分析操作来进行抓捕与追踪,本题目难度中等偏下,不是很有难度,但题目类型较为全面,适合入手当做练习。 一、题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某
misc—web流量(1)
2301_81864699的博客
06-08 958
ctf流量分析题细化方向
CTF流量分析
shy的博客
06-05 2万+
CTF杂项中存在一种题型——流量分析,主要是给你一个流量包,让你分析获取其中的flag的值。 有5种方式,可以直接查找flag。 1、直接搜索 2、使用notepad++等软件,直接打开流量包,搜索关键字 3、编写python脚本 #encoding:utf-8 #用二进制方式读取文件 file=open("networking.pcap","rb") #读取文件内容 i=file.read() #查找字段 a1=i.find("flag{") a2=i.find("}",a1) #将查
[DDCTF2018]流量分析
qq_48511129的博客
08-29 592
在流量包中搜索 tcp contains “KEY” 追踪tcp流发现 解密后为 接着查看流量包,发现一张png图片。复制 进行解码图片 发现图片是一串字母 ORC在线识别:https://www.onlineocr.net/zh_hant/ 进行图片识别 可能会存在一些错误。自己对照字母看一遍 根据提示套上ssh私钥格式 -----BEGIN RSA PRIVATE KEY----- MIICXAIBAAKBgQDCm6vZmclJrVH1AAyGuCuSSZ8O+mIQiOUQCvN0HYbj815.
网络安全CTF流量分析-入门8-攻击流量行为分析
m0_51198141的博客
11-26 893
1.攻击者爆破使用的账号和密码是多少2.攻击者发现软件存在越权漏洞,请给出攻击者越权使用的Cookie的内容的md5值3.攻击者使用jdbc漏洞读取了应用配置文件,给出配置文件中的数据库账号密码4.攻击者又使用CVE攻击了应用,执行系统命令,请给出此CVE编号以及远程Exp的文件名5.给出攻击者获取系统权限后,下载的工具的名称这道题整体就是分析出整个流量的行为就行,做起来还是比较舒服并且贴合实际情况,但是要有一定的逻辑思维,否则容易陷入误区。
CTF竞赛全攻略:从入门到精通
在某些CTF挑战中,参赛者可能需要进行电子取证,收集和分析证据,例如从硬盘或网络流量中恢复数据,追踪攻击路径,或者重建事件序列。 五、工具箱的构建 一个强大的工具箱对于CTF参赛者至关重要。这包括各种安全...
pwn ctf 入门 0x05
爱党人士
07-14 580
CTF-PWN pwn 基于二进制的漏洞挖掘与利用 基于漏洞的利用脚本 基于流量的复现脚本 能力分析 汇编代码逆向分析能力 程序内存分布 栈结构 堆结构 函数调用的流程(逆向的角度) 内存保护机制 汇编到c 自己去学点逆向去, 不然后面是看不懂的。 掌握汇编 崩不崩溃? 哈哈 pwn特点: 入门难,进阶难,精通难。 再了解一波结构。 64位的与32位的不同, 而很多人学的都是16位...
[网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码(一)
杨秀璋的专栏
09-20 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了虚拟机VMware+Kali安装入门及Sqlmap基本用法,这篇文章将分享Wireshark安装入门,并讲解一个抓取网站用户名和密码的案例。 Wireshark作为网络分析的最佳利器之一,非常推荐网络安全初学者学习。作者作为网络安全的小白,分享一些自学教程供大家学习,后续也将深入学习网络安全和系统安全相关知识并分享相关实验。希望对初学者有帮助,大神请飘过,谢谢各位看官!
[网络安全自学篇] 八十八.基于机器学习的恶意代码检测技术详解
杨秀璋的专栏
07-19 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了传统的恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。这篇文章将介绍基于机器学习的恶意代码检测技术,主要参考郑师兄的视频总结,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。同时,我再结合自己的经验进行扩充,详细分享了基于机器学习的恶意代码检测技术,基础性文章,希望对
网络安全与黑客技术学习资源汇总---2020.08更新
第七宇林的博客
08-15 1856
网络安全与黑客技术学习资源汇总:漏洞测试学习平台、安全资讯平台、安全行业协会/组织、POC(验证性测试)提交 学习、黑客技术与网络安全书籍、CTF练习平台、SRC(安全响应中心)平台、安全技术博客。
CTF 流量包相关-流量分析(1)
qq_56815564的博客
04-28 1万+
前面的flag不论是直接给你明文,还是有一定的编码,都是比较简单的,像这些十成甚至九成都会是签到题,所以了解一下知道有这种情况就好,重点不再这边另外这里还是给出一下风佬的脚本吧,虽然我感觉用到的几率应该不会很大,如果要用的话,那个破空查flag的工具应该会比较好用,下载的话,风佬的git里面应该有,这里就不给了。
CTF流量分析1
qq_45766280的博客
08-26 979
流量分析1题解:总结 仅作为学习笔记使用 题目:Q3.pcap 题解: 先在wireshark里看一下 有HTTP先看HTTP,直接在过滤器中选择HTTP 这些包就有意思了,这些请求有些想目录扫描在不断的请求,而大部分的回应都是404,那么我们暂时推断会有访问成功的,往后面找找吧。 这两个语句成功通过了,那我们来详细分析分析这两个包。追踪流->HTTP GET /?c=print_r(gzcompress(file_get_contents(base64_decode(%22aW5kZXguc
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M1r4n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值