【CTF流量分析:从入门到精通】

最新推荐文章于 2024-05-28 15:44:23 发布
最新推荐文章于 2024-05-28 15:44:23 发布
阅读量1.4w 收藏 18
点赞数 20
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33295410/article/details/136319170
版权

CTF(Capture The Flag)是一种网络安全竞赛,其中流量分析是一种常见的题型。流量分析就是通过分析网络流量包,提取出有用的信息,如密码、密钥、文件、flag等。流量分析需要掌握一些基本的网络协议知识,以及一些常用的工具和技巧。本文将介绍流量分析的基本概念,常见的题型和解题方法,以及一些实战案例,帮助你从入门到精通流量分析。

流量分析的基本概念

流量包(packet)是网络通信中的最小单位,它包含了发送方和接收方的地址、协议类型、数据内容等信息。流量包按照不同的层次可以分为物理层、数据链路层、网络层、传输层、应用层等,每一层都有相应的协议和格式。流量分析就是通过观察和解析流量包的各个层次的信息,找出其中的规律和异常,从而达到目的。

流量分析的工具有很多,其中最常用的是wireshark,它是一个图形化的网络嗅探器,可以捕获和分析实时或离线的流量包,支持多种协议和过滤器,还有一些高级功能,如数据包还原、数据提取、流量统计等。除了wireshark,还有一些其他的工具,如tcpdump、tshark、foremost、binwalk等,它们各有特点和优势,可以根据不同的场景和需求选择使用。

流量分析的技巧有很多,其中最重要的是过滤和搜索。过滤是指根据一定的条件,筛选出感兴趣的流量包,如协议类型、端口号、IP地址、数据长度等。搜索是指根据一定的关键字,查找出包含该关键字的流量包,如字符串、十六进制、正则表达式等。通过过滤和搜索,可以快速定位到目标流量包,从而节省时间和精力。

流量分析的常见题型和解题方法

流量分析的题型有很多,但大致可以分为以下几类:

  • ping报文信息:这类题目是通过分析icmp协议的ping报文,提取出其中隐藏的信息,如flag、文件、命令等。解题方法是观察每个ping报文的数据部分,找出其中的规律和异常,或者用脚本处理。
  • 上传/下载文件:这类题目是通过分析http协议或其他协议的上传/下载文件的流量,提取出其中的文件内容,如压缩包、图片、文本等。解题方法是使用wireshark的导出对象功能,或者手动提取数据部分,或者用foremost等工具分离文件。
  • sql注入攻击:这类题目是通过分析http协议的sql注入攻击的流量,提取出其中的数据库信息,如表名、字段名、数据内容等。解题方法是观察每个http请求的参数和响应,找出其中的注入语句和结果,或者用sqlmap等工具自动化注入。
  • 访问特定的加密解密网站:这类题目是通过分析http协议的访问特定的加密解密网站的流量,提取出其中的加密或解密的内容,如md5、base64、aes等。解题方法是观察每个http请求的参数和响应,找出其中的加密或解密的内容,或者用在线工具或脚本进行加密或解密。
  • 后台扫描+弱密码爆破+菜刀:这类题目是通过分析http协议的后台扫描+弱密码爆破+菜刀的流量,提取出其中的后台地址、用户名、密码、文件内容等。解题方法是观察每个http请求的参数和响应,找出其中的扫描工具、爆破工具、菜刀工具的特征和结果,或者用相应的工具进行验证和操作。
  • usb流量分析:这类题目是通过分析usb协议的流量,提取出其中的键盘输入、鼠标点击、文件拷贝等信息。解题方法是使用wireshark的usb键盘解码器,或者手动解析usb数据包,或者用脚本处理。
  • WiFi无线密码破解:这类题目是通过分析WiFi协议的流量,提取出其中的无线密码,如wep、wpa、wpa2等。解题方法是使用wireshark的无线密码解码器,或者使用aircrack-ng等工具进行破解。
  • 根据一组流量包了解黑客的具体行为:这类题目是通过分析一组复杂的流量包,了解黑客的具体行为,如攻击方式、攻击目标、攻击结果等。解题方法是综合运用上述的各种工具和技巧,分析流量包的各个层次和细节,还原黑客的攻击过程和思路。

流量分析的实战案例

下面我们来看几个流量分析的实战案例,分别涉及到不同的题型和方法,帮助你加深理解和掌握流量分析的技能。

案例一:ping报文信息

这是一个来自第八届极客大挑战的题目,题目给出了一个流量包,要求提取出其中的flag。

打开流量包,发现有一大段的icmp协议的包,发现在icmp报文中夹杂着flag:

 

这里可以依次查看每一个icmp报文数据,然后得到flag:

flag{p1ng_p0ng_p1ng_p0ng}

也可以用脚本处理,如下:

import pyshark
cap = pyshark.FileCapture('ping.pcap')
flag = ''
for packet in cap:
    data = packet[packet.highest_layer].data
    flag += chr(int(data, 16))
cap.close()
print(flag)

案例二:上传/下载文件

这是一个来自第七季极客大挑战的题目,题目给出了一个流量包,要求提取出其中的文件内容。

打开流量包,发现有一些http协议的包,其中有一个包的数据部分包含了一个rar压缩包:

 

要提取出这个rar包,有两种方法:

方法一:直接复制数据块,然后复制到winhex中,转存为rar。

复制数据块 as Hex stream > 在winhex中粘贴 为 ASCII HEX > 删除前面的 多余信息 > 保存为 rar

方法二:用foremost分离:

foremost -i http.pcap -o output

在output文件夹中可以看的分离出来的文件。

 

M1r4n
关注
  • 20
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
CTF之misc杂项解题技巧总结(2)——流量分析
若谷的博客
12-22 1415
以前的POST方式是不支持传送文件的,对于普通的post来说,他的Content-type是application/x-www-from-urlencode,也就意味着消息的内容会被url编码,但是后来支持传送文件,将Content-type扩展为multipart/form-data,来向server发送二进制数据,并且还要用一个内容分隔符来分割数据,boundry. 同时chrome和ie的策略也有所不同,IE是传送完整的路径,而Chrome只传送文件名。难道是被加密的文件要用私钥来进行解密?
流量分析ctf
m0_53067332的博客
01-10 8082
题目介绍 该题为流量分析,当黑客入侵我们的网络是,我们可以需要通过一系列分析操作来进行抓捕与追踪,本题目难度中等偏下,不是很有难度,但题目类型较为全面,适合入手当做练习。 一、题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某
CTF从入门到提升(二).docx
12-18
CTF从入门到提升(二).docx
CTF——流量分析题型整理总结
热门推荐
小锤队长的博客
12-19 4万+
我见过的流量分析类型的题目总结: 一,ping 报文信息 (icmp协议) 二,上传/下载文件(蓝牙obex,http,难:文件的分段上传/下载) 三,sql注入攻击 四,访问特定的加密解密网站(md5,base64) 五,后台扫描+弱密码爆破+菜刀 六,usb流量分析 七,WiFi无线密码破解 八,根据一组流量包了解黑客的具体行为 例题: 一,ping 报文信息 (icm...
CTF流量分析之题型深度解析
最新发布
白帽子凯哥聊黑客
05-28 1098
其中第一个字节代表按键,当取0x00时,代表没有按键、为0x01时,代表按左键,为0x02时,代表当前按键为右键。pcap流量包的分析通常都是通过图形化的网络嗅探器——wireshark进行的,这款嗅探器经过众多开发者的不断完善,现在已经成为使用最为广泛的安全工具之一。最终提交的flag格式为flag。具体的键位映射关系可参考:《USB键盘协议中键码》中的HID Usage ID,链接:https://wenku.baidu.com/view/9050c3c3af45b307e971971e.html。
CTF Misc(3)流量分析基础以及原理
Ba1_Ma0的博客
10-11 3537
流量分析基础以及原理
2021年“绿城杯”网络安全大赛
09-30
2021年“绿城杯”网络安全大赛
CTF 流量包相关-流量分析(1)
qq_56815564的博客
04-28 1万+
前面的flag不论是直接给你明文,还是有一定的编码,都是比较简单的,像这些十成甚至九成都会是签到题,所以了解一下知道有这种情况就好,重点不再这边另外这里还是给出一下风佬的脚本吧,虽然我感觉用到的几率应该不会很大,如果要用的话,那个破空查flag的工具应该会比较好用,下载的话,风佬的git里面应该有,这里就不给了。
CTF流量分析
shy的博客
06-05 2万+
CTF杂项中存在一种题型——流量分析,主要是给你一个流量包,让你分析获取其中的flag的值。 有5种方式,可以直接查找flag。 1、直接搜索 2、使用notepad++等软件,直接打开流量包,搜索关键字 3、编写python脚本 #encoding:utf-8 #用二进制方式读取文件 file=open("networking.pcap","rb") #读取文件内容 i=file.read() #查找字段 a1=i.find("flag{") a2=i.find("}",a1) #将查
ctf流量分析学习
一大口木的博客
11-13 1871
链接:https://pan.baidu.com/s/1e3ZcfioIOmebbUs-xGRnUA?pwd=9jmc提取码:9jmc前几道比较简单,是经常见、常考到的类型。
CTF从入门到提升(一).docx
12-18
CTF从入门到提升(一) CTF(Capture The Flag)是一种网络安全竞赛的形式,起源于西方传统运动,两军互相争夺旗帜,夺取敌军旗帜代表战败。在信息安全领域,CTF是通过各种攻击手法,获取服务器后寻找指定的字段,...
两道CTF流量分析题,寻找flag!
03-10
题目1:在流量中寻找管理员的密码!...问题1:安全审计设备上捕获了一条OPC流量,疑似遭遇黑客攻击,请分析出黑客攻击的流量编号。(仅需找到流量编号即可) 问题2:找出藏匿在流量包中的flag(格式为flag{})
CTF从入门到提升教学视频
01-28
CTF能够锻炼选手对一些漏洞的理解能力,对安全研究、渗透测试也有一定的作用。越来越多的企业招聘安全从业人员时都会对CTF有一定的要求。
一道冰蝎文件流量分析的例题
09-01
在网络安全领域,尤其是CTF(Capture The Flag)竞赛中,冰蝎经常被用于流量分析、数据包嗅探和网络取证。本题目的核心是利用冰蝎进行文件流量分析。 首先,我们要理解什么是文件流量分析。文件流量分析是网络安全...
[DDCTF2018]流量分析
qq_48511129的博客
08-29 522
在流量包中搜索 tcp contains “KEY” 追踪tcp流发现 解密后为 接着查看流量包,发现一张png图片。复制 进行解码图片 发现图片是一串字母 ORC在线识别:https://www.onlineocr.net/zh_hant/ 进行图片识别 可能会存在一些错误。自己对照字母看一遍 根据提示套上ssh私钥格式 -----BEGIN RSA PRIVATE KEY----- MIICXAIBAAKBgQDCm6vZmclJrVH1AAyGuCuSSZ8O+mIQiOUQCvN0HYbj815.
CTF流量分析
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
04-15 1245
是一个网络封包分析软件。网络封包分析软件的功能是获取网络封包,并尽可能显示出最为详细的网络封包资料使用WinPCAP作为接口,直接与网卡进行数据报文交换。
简单流量分析CTF(wireshark)
wcl20010的博客
05-10 1万+
没做过流量分析的题目,也不怎么了解怎么流量分析,准备系统的理一下思路。。 这有第一个小题目。通过几个题目来了解wireshark的使用以及流量分析吧。。 追踪流量 bugku的杂项题目。 链接:https://pan.baidu.com/s/1OnO7OXIQB8ztl8J2q48jBA 提取码:1111 这是一个pacp文件 是一种常用的数据报存储文件,存储了一段数据包。 打开wireshark直接文件拖进去就可以打开了。 然后右键一个数据包选择追踪流 点开就得到了fla...
网络安全CTF流量分析-基础1-Flask的Session流量解密
m0_51198141的博客
11-27 1099
1.admin用户的密码是多少2.app.config['SECRET_KEY']的值3.flask网站由哪个用户启动4.攻击者写入的内存马的路由名叫什么这道题整体来说包比较小,但是流量的内容全都是加密的,如果对解密不熟练解决起来就会有困难,其中的Flask的Session的解密还是比较有意思。写的不是很好,有问题欢迎师傅们留言指出基础的篇章开始。
网络安全CTF流量分析-入门4-JSP的AES加密流量分析
m0_51198141的博客
11-22 233
JSP的Webshell使用AES加密,进行流量分析和解密。
ctf流量分析常见题型
10-16
ctf流量分析常见题型包括以下几种: 1. 抓包分析:给定一个pcap文件,需要分析其中的流量,找出关键信息,如用户名、密码、flag等。 2. 网络协议分析:给定一个网络协议的报文,需要分析其中的字段含义,如TCP、UDP、HTTP、DNS等。 3. 网络流量还原:给定一段网络流量,需要还原出原始数据,如图片、音频、视频等。 4. 网络攻击分析:给定一段网络流量,需要分析其中是否存在攻击行为,如DDoS、SQL注入、XSS等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M1r4n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值