流量分析----CTF题

最新推荐文章于 2024-05-28 15:44:23 发布
最新推荐文章于 2024-05-28 15:44:23 发布
阅读量8.5k 收藏 72
点赞数 15
文章标签: 安全 web安全 网络 wireshark 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38390532/article/details/124543989
版权

文章目录

题目背景

某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题

一、关卡列表

  1. 请分析流量,给出黑客使用的扫描器

  2. 请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)

  3. 请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)

  4. 请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码

  5. 请分析流量,黑客在robots.txt中找到的flag是什么

  6. 请分析流量,黑客找到的数据库密码是多少

  7. 请分析流量,黑客在数据库中找到的hash_code是什么

  8. 请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么

  9. 网卡配置是是什么,提交网卡内网ip

  10. 请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)

  11. 请分析流量,黑客获得的vpn的ip是多少

二、解题

1. 请分析流量,给出黑客使用的扫描器

打开webone.pcap,按照协议类型排序一下
zheli
看到这里是不是比较熟悉?
常用的扫描器也就这几个:awvs,appscan,nessus
刚好这个特征就是awvs的
在这里插入图片描述
然后我们使用http contains acunetix过滤
在这里插入图片描述
发现大量的awvs的特征,可以说明是用awvs进行扫描的
第一题完成

2. 请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)

登录后台无非就两种方法,POST和GET。因为GET方法比较不安全
在提交的时候url会出现这种情况
在这里插入图片描述
可以确认第一步,登陆后台99%使用的是POST方法,直接使用过滤器过滤一下http.request.method=="POST",有rec=login的流量进行追踪
在这里插入图片描述
在这里插入图片描述
302重定向,基本上说明登陆成功

3. 请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)

在上一题的基础上,一个一个追踪tcp是不可取的,根据上面的结果,我们可以发现黑客的IP是192.168.94.59rec=login
所以我们可以这样过滤:http.request.method=="POST" && ip.src==192.168.94.59 && http contains "rec=login"
根据经验,我们找到最后一个包,结果就出来了

在这里插入图片描述
(admin/admin!@#pass123)

4. 请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码

这题解法我们可以用这句过滤http.request.method=="POST" and ip.src==192.168.94.59 and http

在这里插入图片描述

这明显就有问题,如果说一个正常的网站,images下放的是图片,但这里放了一个a.php很让人怀疑是一句话木马,而且啊,在老师的教学中,为了方便起文件直接a.php或者b.php等,所以怀疑这里大概率是有问题了,我们对其中一个进行tcp追踪
在这里插入图片描述

看到这里就很明显了吧,一句话木马的特征,1234为传递值,base64加密过的内容
我们对内容解一下
在这里插入图片描述
可以确认是一句话木马了
我们再过滤一下tcp contains "<?php @eval"
在这里插入图片描述

5. 请分析流量,黑客在robots.txt中找到的flag是什么

题目说robots.txt,然后就过滤哈http contains "robots.txt"
在这里插入图片描述
flag:87b7cb79481f317bde90c116cf36084b

6. 请分析流量,黑客找到的数据库密码是多少

直接过滤http数据包,查看数据包的末尾,如果数据库登陆成功,那么http响应码应该为200,并且一般会包含database,逐一查看响应码为200的数据包,即可找到数据库密码http.response.code==200 and http contains "database"
在这里插入图片描述
在这里插入图片描述
结果显而易见

7. 请分析流量,黑客在数据库中找到的hash_code是什么

打开webtwo.pcap,我们可以利用hash_code过滤一下,因为上一张图已经知道数据库主机的ip,这一条语句可以ip.src==10.3.3.101 and tcp contains "hash_code"
在这里插入图片描述

8. 请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么

直接上语句tcp contains "ijnu@test.com"
在这里插入图片描述

在这里插入图片描述
MD5解码,得到
em。。。这里搜md5在线解密结果都是要开会员,后来用了老师推荐的一个MD5在线
最后得到edc123!@#

9. 网卡配置是是什么,提交网卡内网ip

无外乎也就那几个,eth0,eth1,lo等等,这次直接搜tcp contains "eth0"
在这里插入图片描述
我们可以知道,外网ip192.168.32.189,而内网ip10.3.3.100

10. 请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)

11. 请分析流量,黑客获得的vpn的ip是多少

这两题能力有限,还需要多多研究一下(累~)

三、流量包文件

链接:https://pan.baidu.com/s/1VUZSFIfYijvezXw49C1isA
提取码:ls8s

Leon.Luo
关注
  • 15
    点赞
  • 72
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
CTF流量分析
m0_37442062的博客
05-03 3923
1.flag被盗了,pcap(gnnl) 尝试http过滤,get或者post追踪tcp流即可,这里是post, flag{This_is_a_f10g} 2.这么多数据包找找吧,先找到getshell的流pcap(vn78) 过滤tcp TCP流通常是命令行操作 Q0NURntkb195b3VfbGlrZV9zbmlmZmVyfQ== 解码:CCTF{do_you_like_sniffer} 3.有一天皓宝宝没了流量只好手机来共享,顺便又从手机发了点小秘密到电脑,你能找到它吗?
流量分析ctf
m0_53067332的博客
01-10 8130
目介绍 该流量分析,当黑客入侵我们的网络是,我们可以需要通过一系列分析操作来进行抓捕与追踪,本目难度中等偏下,不是很有难度,但目类型较为全面,适合入手当做练习。 一、目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某
CTF流量分析型深度解析
最新发布
白帽子凯哥聊黑客
05-28 1193
其中第一个字节代表按键,当取0x00时,代表没有按键、为0x01时,代表按左键,为0x02时,代表当前按键为右键。pcap流量包的分析通常都是通过图形化的网络嗅探器——wireshark进行的,这款嗅探器经过众多开发者的不断完善,现在已经成为使用最为广泛的安全工具之一。最终提交的flag格式为flag。具体的键位映射关系可参考:《USB键盘协议中键码》中的HID Usage ID,链接:https://wenku.baidu.com/view/9050c3c3af45b307e971971e.html。
关于流量分析目的解析
TJHder的博客
03-19 1115
展示一部份吧,我们将它先利用hex转化为ascii,然后这个是一个埃及文,意思是说要进行一个zip文件格式的保存然后利用notepad++进行一个ascii的转换即可得到一个docx(word文档),里面就有flag!我们将这个字节流保存下来,然后用工具发现它是一个jpg格式的图,于是以jpg的格式进行保存下来于是我们就可以看到密码是多少,然后我们将这个密码带入进去就可以得到我们需要的flag。先在kali里面用弱口令去进行爆破,然后将密码带入并生成一个1.pcap的文件打开后,查找http协议的即可。
CTF 流量包相关-流量分析(1)
qq_56815564的博客
04-28 1万+
前面的flag不论是直接给你明文,还是有一定的编码,都是比较简单的,像这些十成甚至九成都会是签到,所以了解一下知道有这种情况就好,重点不再这边另外这里还是给出一下风佬的脚本吧,虽然我感觉用到的几率应该不会很大,如果要用的话,那个破空查flag的工具应该会比较好用,下载的话,风佬的git里面应该有,这里就不给了。
CTF——流量分析型整理总结
热门推荐
小锤队长的博客
12-19 4万+
我见过的流量分析类型的目总结: 一,ping 报文信息 (icmp协议) 二,上传/下载文件(蓝牙obex,http,难:文件的分段上传/下载) 三,sql注入攻击 四,访问特定的加密解密网站(md5,base64) 五,后台扫描+弱密码爆破+菜刀 六,usb流量分析 七,WiFi无线密码破解 八,根据一组流量包了解黑客的具体行为 例: 一,ping 报文信息 (icm...
CTF流量分析
m0_56153480的博客
02-09 1861
流量分析 一、目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可) 3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web
两道CTF流量分析分享
seek_2022的博客
03-10 2047
本文分享了两道CTF流量分析,分析的过程充满着许多乐趣,希望本文分享的两道的分析对大家学习相关技能有帮助。
CTF——MISC习讲解(流量分析winshark系列)
tlovejr的博客
03-14 6868
CTF——MISC习讲解(流量分析winshark系列) 前言 上一章节我们已经做完一场比赛的杂项目,这次给大家介绍一下不一样的,给大家来一期流量分析,在这个专中,所有的目链接都整理好了,就不给大家一一展示了,大家可以直接统一下载即可。 一、基础篇-----flag明文 首先打开文件发现以下界面 在这个界面直接ctrl+f,直接搜索flag关键字 然后直接查找就可以看到flag 二、基础篇----flag编码 1、bianma1 这个直接查找flag的话是没有的,所以我们把flag直接编
网络空间安全市赛Misc一道简单的流量分析
Mark的博客
11-28 1万+
这道给了一个流量包,内部分了7个小 1:首先可以在导出HTTP中查看攻击流量 第一的flag答案便是: [172.16.1.101] 2、查端口,我们找到黑客ip后便过滤ip,输入ip.addr==172.16.1.102 往下分析你会发现很集中的有端口扫描现象,黑客是通过37113来扫描的,你只需要看这些便可,便能得到flag,所以第二flag为[21,23,80,445,3389,5007] 3/4两、要分析出黑客最终获得的用户名就得找到黑客什么时候登录的,攻击点在哪里,那就用
启明HW-流量分析
04-24
本资源是启明星辰对于护网的考核目,主要是流量分析方面的实战目。
Wireshark流量分析
12-17
用于网络安全流量分析的工具,可以配合burpsuite抓包工具一块使用
2022工业互联网大赛-杭州-CTF
09-14
第一次参加工控类的CTF,然后正好团队中有一个小伙伴电脑连不上局域网,只能从我电脑中下载下来,因此这次正好有完整的目和附件,然后也基本是misc和crypto。分享给需要的朋友,如果有人能写出writeup的话,那就...
两道CTF流量分析,寻找flag!
03-10
目1:在流量中寻找管理员的密码!...问1:安全审计设备上捕获了一条OPC流量,疑似遭遇黑客攻击,请分析出黑客攻击的流量编号。(仅需找到流量编号即可) 问2:找出藏匿在流量包中的flag(格式为flag{})
一道冰蝎文件流量分析的例
09-01
网络安全领域,尤其是CTF(Capture The Flag)竞赛中,冰蝎经常被用于流量分析、数据包嗅探和网络取证。本目的核心是利用冰蝎进行文件流量分析。 首先,我们要理解什么是文件流量分析。文件流量分析网络安全...
2021-10-12T15_46_29.634969+00_00misc_流量分析.rar
10-21
"2021-10-12T15_46_29.634969+00_00misc_流量分析.rar" 暗示这是一个关于网络安全竞赛(CTF)的挑战,涉及的是流量分析方面的内容。描述提到“CTF附件——MISC类型——数据库登录”,表明该挑战可能需要...
2022安徽省赛赛——B-2任务二:流量分析
panda.
09-23 589
2022年安徽省赛赛——B-2任务二:流量分析
流量分析目(流量检索,数据提取,数据重组,伪加密,图片提取)
洞若观火
10-21 5869
流量检索: 将数据包加入科来进行分析,当然wireshark也可以,但是科来的数据可视化做的比较好。 找到了一个比较大的数据包,打开看看。。。 数据提取: 搜索关键字flag。。。果然在这里,使用wireshark进行数据的提取,看大小应该就是这几个了 数据重组: 挨个保存,最好编个号,以免重组的时候乱了顺序 一共保存了五个数据包,以上所选是每个包的包头,需要去掉...
编程比赛目:亿级流量实时分析(第二天)
熊孩子会撒野
01-09 243
虽然第一天的比赛里,我们用ELK成功对日志文件进行解析,并用可视化界面展示数据。但我们不想只限于“搭环境比赛”,而且从第一天的情况来看, ES的性能在有效的资源下已经有点撑不住了。所以决定今天开始自己造轮子。   再次分析目,其实比赛要的是某时间段某源IP、目标IP、请求URL的统计数据,对具体的数据明细并不关心。故我们打算自己写个Agent脚本,读取日志文件,通过socket传输给Se...
ctf-qsnctf此地无银三百
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的目来获取旗帜(flag),并提交给平台进行验证。 "此地无银三百"是ctf-qsnctf平台上的一道目,它的名称可能是一个提示,暗示着解的思路。具体的解方法和答案我无法透露,因为这会破坏比赛的公平性和乐趣。如果你对这道目感兴趣,我建议你在ctf-qsnctf平台上注册账号并参与比赛,通过自己的努力和思考来解决问
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值