流量分析----CTF题

最新推荐文章于 2025-03-09 16:24:10 发布
最新推荐文章于 2025-03-09 16:24:10 发布
阅读量9.8k 收藏 85
点赞数 16
文章标签: 安全 web安全 网络 wireshark 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38390532/article/details/124543989
版权

文章目录

题目背景

某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题

一、关卡列表

  1. 请分析流量,给出黑客使用的扫描器

  2. 请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)

  3. 请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)

  4. 请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码

  5. 请分析流量,黑客在robots.txt中找到的flag是什么

  6. 请分析流量,黑客找到的数据库密码是多少

  7. 请分析流量,黑客在数据库中找到的hash_code是什么

  8. 请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么

  9. 网卡配置是是什么,提交网卡内网ip

  10. 请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)

  11. 请分析流量,黑客获得的vpn的ip是多少

二、解题

1. 请分析流量,给出黑客使用的扫描器

打开webone.pcap,按照协议类型排序一下
zheli
看到这里是不是比较熟悉?
常用的扫描器也就这几个:awvs,appscan,nessus
刚好这个特征就是awvs的
在这里插入图片描述
然后我们使用http contains acunetix过滤
在这里插入图片描述
发现大量的awvs的特征,可以说明是用awvs进行扫描的
第一题完成

2. 请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)

登录后台无非就两种方法,POST和GET。因为GET方法比较不安全
在提交的时候url会出现这种情况
在这里插入图片描述
可以确认第一步,登陆后台99%使用的是POST方法,直接使用过滤器过滤一下http.request.method=="POST",有rec=login的流量进行追踪
在这里插入图片描述
在这里插入图片描述
302重定向,基本上说明登陆成功

3. 请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)

在上一题的基础上,一个一个追踪tcp是不可取的,根据上面的结果,我们可以发现黑客的IP是192.168.94.59rec=login
所以我们可以这样过滤:http.request.method=="POST" && ip.src==192.168.94.59 && http contains "rec=login"
根据经验,我们找到最后一个包,结果就出来了

在这里插入图片描述
(admin/admin!@#pass123)

4. 请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码

这题解法我们可以用这句过滤http.request.method=="POST" and ip.src==192.168.94.59 and http

在这里插入图片描述

这明显就有问题,如果说一个正常的网站,images下放的是图片,但这里放了一个a.php很让人怀疑是一句话木马,而且啊,在老师的教学中,为了方便起文件直接a.php或者b.php等,所以怀疑这里大概率是有问题了,我们对其中一个进行tcp追踪
在这里插入图片描述

看到这里就很明显了吧,一句话木马的特征,1234为传递值,base64加密过的内容
我们对内容解一下
在这里插入图片描述
可以确认是一句话木马了
我们再过滤一下tcp contains "<?php @eval"
在这里插入图片描述

5. 请分析流量,黑客在robots.txt中找到的flag是什么

题目说robots.txt,然后就过滤哈http contains "robots.txt"
在这里插入图片描述
flag:87b7cb79481f317bde90c116cf36084b

6. 请分析流量,黑客找到的数据库密码是多少

直接过滤http数据包,查看数据包的末尾,如果数据库登陆成功,那么http响应码应该为200,并且一般会包含database,逐一查看响应码为200的数据包,即可找到数据库密码http.response.code==200 and http contains "database"
在这里插入图片描述
在这里插入图片描述
结果显而易见

7. 请分析流量,黑客在数据库中找到的hash_code是什么

打开webtwo.pcap,我们可以利用hash_code过滤一下,因为上一张图已经知道数据库主机的ip,这一条语句可以ip.src==10.3.3.101 and tcp contains "hash_code"
在这里插入图片描述

8. 请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么

直接上语句tcp contains "ijnu@test.com"
在这里插入图片描述

在这里插入图片描述
MD5解码,得到
em。。。这里搜md5在线解密结果都是要开会员,后来用了老师推荐的一个MD5在线
最后得到edc123!@#

9. 网卡配置是是什么,提交网卡内网ip

无外乎也就那几个,eth0,eth1,lo等等,这次直接搜tcp contains "eth0"
在这里插入图片描述
我们可以知道,外网ip192.168.32.189,而内网ip10.3.3.100

10. 请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)

11. 请分析流量,黑客获得的vpn的ip是多少

这两题能力有限,还需要多多研究一下(累~)

三、流量包文件

链接:https://pan.baidu.com/s/1VUZSFIfYijvezXw49C1isA
提取码:ls8s

Leon.Luo
关注
流量分析ctf
m0_53067332的博客
01-10 8708
目介绍 该流量分析,当黑客入侵我们的网络是,我们可以需要通过一系列分析操作来进行抓捕与追踪,本目难度中等偏下,不是很有难度,但目类型较为全面,适合入手当做练习。 一、目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某
CTF流量分析
Kiber
04-19 704
思路:http.request.method =="POST" && http contains "php",追踪流,找到variable=1&tpl=data/Runtime/Logs/Home/21_08_07.log&aaa=system('echo PD9waHAgZXZhbCgkX1JFUVVFU1RbZXNGXSk7Pz4=|base64 -d > /var/www/html/1.php')找j68071301598f写入的内容,且排除前两位再用base64解密,找到frpc.ini文件。
ctf】whireshark流量分析之tcp_杂篇
一大口木的博客
12-21 4056
流量分析之tcp_杂篇
CTF 大神才知道的 50 个解骚套路,速速收藏!
最新发布
m0_59598029的博客
03-09 877
核心目标: 以 Flag 为导向,光速拆解问、熟练运用各种工具、培养模式化思维。关键原则: 先撒网再深挖(信息收集要全面)、分而治之(复杂任务拆开搞)。SQL 注入绕过 WAF用给 SQL 语句“化妆”(MySQL 的独家秘方)。闪亮登场,替代明文字符串,让 WAF 看不清。SSTI 模板注入Flask/Jinja2 里,带你找到那些“危险分子”。Twig 模板里,直接执行命令,简单粗暴。文件包含漏洞,用起来!PHP 伪协议读取 POST 的原始数据,悄咪咪写入 Webshell。
CTF——流量分析型整理总结
热门推荐
小锤队长的博客
12-19 5万+
我见过的流量分析类型的目总结: 一,ping 报文信息 (icmp协议) 二,上传/下载文件(蓝牙obex,http,难:文件的分段上传/下载) 三,sql注入攻击 四,访问特定的加密解密网站(md5,base64) 五,后台扫描+弱密码爆破+菜刀 六,usb流量分析 七,WiFi无线密码破解 八,根据一组流量包了解黑客的具体行为 例: 一,ping 报文信息 (icm...
关于流量分析目的解析
TJHder的博客
03-19 3816
展示一部份吧,我们将它先利用hex转化为ascii,然后这个是一个埃及文,意思是说要进行一个zip文件格式的保存然后利用notepad++进行一个ascii的转换即可得到一个docx(word文档),里面就有flag!我们将这个字节流保存下来,然后用工具发现它是一个jpg格式的图,于是以jpg的格式进行保存下来于是我们就可以看到密码是多少,然后我们将这个密码带入进去就可以得到我们需要的flag。先在kali里面用弱口令去进行爆破,然后将密码带入并生成一个1.pcap的文件打开后,查找http协议的即可。
两道CTF流量分析分享
seek_2022的博客
03-10 2872
本文分享了两道CTF流量分析,分析的过程充满着许多乐趣,希望本文分享的两道的分析对大家学习相关技能有帮助。
网络安全CTF流量分析-入门4-JSP的AES加密流量分析
m0_51198141的博客
11-22 640
JSP的Webshell使用AES加密,进行流量分析和解密。
CTF-MISC-流量分析思路汇总(一)
初学者
12-11 1708
从整体的解思路来看,该目不是一道特别难得目,但是其难度主要是对于初学者来将,如何把握住解的方向是关键,很多人拿到目之后,第一是不知道干什么,第二是不知道怎么干,根据上面的分析执行流程,以及最终解答的效果,总结出第一点是对Wireshark的使用,第二点是对编解码知识的掌握,第三点就是对敏感信息的捕获。
网络安全CTF流量分析-入门8-攻击流量行为分析_流量分析cookie的md5(1)
2401_84545016的博客
05-14 543
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
网络安全CTF流量分析-基础1-Flask的Session流量解密
m0_51198141的博客
11-27 1435
1.admin用户的密码是多少2.app.config['SECRET_KEY']的值3.flask网站由哪个用户启动4.攻击者写入的内存马的路由名叫什么这道整体来说包比较小,但是流量的内容全都是加密的,如果对解密不熟练解决起来就会有困难,其中的Flask的Session的解密还是比较有意思。写的不是很好,有问欢迎师傅们留言指出基础的篇章开始。
流量分析.docx
12-02
流量分析
流量分析目(包含原).md
02-20
A集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击(APT),并抓取了部分可疑流量包。请您根据捕捉到的流量包,搜寻出网络攻击线索,分解出隐藏的恶意程序,并分析恶意程序的行为。任务素材清单:捕获的网络数据包文件。
CTF流量分析-集2-[闽盾杯 2021]DNS协议分析
m0_51198141的博客
11-30 2185
网络安全流量分析CTF,DNS协议
ctf流量分析练习二
gclome的博客
09-06 3810
上次的流量分析做的我一个脑袋两个大!但是不能放弃啊,再找一些来练练手 0x01 经典CTF型主要分为流量包修复、WEB流量包分析、USB流量包分析和其他流量包分析。 01 流量包修复 比赛过程中有可能会出现通过wireshark打开目给的流量包后提示包异常的情况,如下图所示: 解思路: 通过在线pacp包修复工具进行修复: http://f00l.de/hacking/pcapfix.php 修复之后,再次打开 用tcp contains “flag”,找到了下面这句话: 于是乎,flag就在
CTF流量分析
m0_37442062的博客
05-03 4249
1.flag被盗了,pcap(gnnl) 尝试http过滤,get或者post追踪tcp流即可,这里是post, flag{This_is_a_f10g} 2.这么多数据包找找吧,先找到getshell的流pcap(vn78) 过滤tcp TCP流通常是命令行操作 Q0NURntkb195b3VfbGlrZV9zbmlmZmVyfQ== 解码:CCTF{do_you_like_sniffer} 3.有一天皓宝宝没了流量只好手机来共享,顺便又从手机发了点小秘密到电脑,你能找到它吗?
CTF 流量包相关-流量分析(1)
qq_56815564的博客
04-28 1万+
前面的flag不论是直接给你明文,还是有一定的编码,都是比较简单的,像这些十成甚至九成都会是签到,所以了解一下知道有这种情况就好,重点不再这边另外这里还是给出一下风佬的脚本吧,虽然我感觉用到的几率应该不会很大,如果要用的话,那个破空查flag的工具应该会比较好用,下载的话,风佬的git里面应该有,这里就不给了。
CTFmisc流量分析(详细)
2406_87429010的博客
10-22 744
发现账号name密码word,根据提示拼接账号密码,并将其放入MD5哈希生成器中,输出1d240aafe21a86afc11f38a45b541a49包上flag即可提交。发现一长串的base64编码,我们猜测可能是解码得到图片,我们将base64编码复制下来,将其解码成图片。下载后打开文件,查找http协议,跟踪后发现有一个fenxi.php我们查看。下载后发现是一个流量,打开后过滤http协议,然后追踪HTTP流。我们下载这个文件打开发现全是tcp流,我们直接追踪就好。查看TCP流,点击查找flag。
ctf流量分析如何做
01-04
### CTF竞赛中的流量分析目解决方法 #### 使用Wireshark和Tshark进行初步数据包捕获与过滤 对于CTF竞赛中的流量分析目,通常会涉及到网络通信协议的理解以及特定工具的应用。Wireshark是一个图形化的网络协议分析器,而tshark则是其命令行版本。两者均能用于捕获并解析各种类型的网络流量,包括但不限于HTTP、HTTPS、FTP等常见协议。 当面对USB流量分析时,可以利用这些工具来捕捉设备之间的交互过程,并通过设置合适的显示过滤器(Display Filter)缩小关注范围,例如只查看来自某个端口的数据流或者特定类型的消息[^1]。 ```bash # 使用 tshark 捕捉 USB 流量 (假设已安装 libpcap 和 usbmon 驱动) sudo tshark -i usbmon1 ``` #### 数据处理与特征提取 一旦获得了原始的流量记录文件(.pcap),下一步便是从中挖掘有价值的信息。这可能需要结合编程技能编写脚本来自动化某些重复性的任务,比如统计请求次数、识别异常模式或是重建完整的传输序列号(TCP Stream)[^2]。 Python配合Scapy库能够有效地辅助完成此类工作: ```python from scapy.all import * def analyze_pcap(file_name): packets = rdpcap(file_name) for packet in packets: if IP in packet: src_ip = packet[IP].src dst_ip = packet[IP].dst print(f"Source IP: {src_ip}, Destination IP: {dst_ip}") analyze_pcap('example.pcap') ``` #### 应用场景模拟与实践练习 为了更好地准备实际比赛环境下的挑战,在日常训练中有必要构建类似的测试案例来进行针对性演练。可以通过搭建虚拟机集群创建复杂的服务架构,故意引入漏洞或配置错误以制造真实的攻防对抗情境;也可以参与在线平台上的公开赛事积累实战经验[^3]。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值