2021Bytectf初赛misc-frequently

最新推荐文章于 2022-03-28 22:23:51 发布
最新推荐文章于 2022-03-28 22:23:51 发布
阅读量364 收藏
点赞数 1
分类专栏: CTF 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43200143/article/details/120863280
版权

Someone wants to send secret information through a surreptitious channel. Could you intercept their communications?

dns隧道

过滤一下dns协议

发现有很多向8.8.8.8请求,然后域名前带有信息,于是过滤一下8.8.8.8

在这里插入图片描述

发现这里面有两种,一种是i和o开头的,推测是0和1,另外一种是字符串,

在这里插入图片描述

看到最后一个包这里的==,推测是64编码,就可以过滤一下之前所有带字符串的,然后拼接起来,解码。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TvvKhCPq-1634701797701)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/17adc024-d9e1-4f2a-8bb4-abb6e453d72f/Untitled.png)]

base64解码

先过滤出来所有带有字符串的

过滤规则: dns contains bytedanec&& dns.qry.name.len > 15 && ip.dst == 8.8.8.8

然后导出,导出的话,需要借助tshark工具。

我们需要导出上述规则的

找一下这个字段,先导出全部,然后找一下这个Name

https://www.wireshark.org/docs/dfref/d/dns.html

字段名是从官网找到的,后来发现其实完全不用。。官网找太麻烦了

在这里插入图片描述

完全可以右键,然后点击选择过滤器应用,右边会显示出它的字段名称

在这里插入图片描述

过滤规则:

./tshark.exe -r frequently.pcap -Y “dns contains bytedanec&& dns.qry.name.len > 15 && ip.dst == 8.8.8.8” -T fields -e dns.id -e dns.qry.name

在这里插入图片描述

然后用python ,正则过滤出前面这一段字符,然后连接起来即可(ps:dns的transaction id,也就是过滤规则中的dns.id应该是唯一的,这里面存在重复的,导致刚开始连接起来的字符转换图片有问题,需要去重)

base64转图片工具网址:

https://tool.jisuapi.com/base642pic.html

(也可以用python的base库来解码)

代码:

#!/usr/bin/env python
# -*- coding:utf-8 -*-
# Autor:tangzicheng
import re
import base64

file = open('chongfu.txt','r').read().split('\n')
# print(file)

# 先去重
clean = []
for i in file:
    if i not in clean:
        clean.append(i)
# print(clean)
# 然后把数据部分拼接起来
res = ''
for i in clean:
    data = re.findall(r'([^\s]*)\.bytedanec\.top',i)
    res += data[0]
print(res)
# 输出图片
f = open('out1.png','wb')
data = base64.b64decode(res.encode())
f.write(data)

未去重的效果:

在这里插入图片描述

去重:

在这里插入图片描述

对这个图片进行了一定分析后发现没什么用

查询io

udp.length == 41 && dns contains byte

在这里插入图片描述

将内容导出

/tshark.exe -r frequently.pcap -Y “udp.length == 41 && dns contains byte” -T fields -e dns.id -e dns.qry.name
在这里插入图片描述

脚本编写

用来提取 i o ,转换成01,然后转换成ASCII

#!/usr/bin/env python
# -*- coding:utf-8 -*-
# Autor:tangzicheng
import re
from Crypto.Util import number

file = open('chongfu.txt','r').read().split('\n')
# print(file)
final = []
for i in file:
    if i not in final:
        final.append(i)
# print(final)
finalbin = ""
for i in final:
    data = re.findall(r'.\.bytedanec\.top',i)
    if len(data) != 0:
        # print(data[0][0])
        if data[0][0] == 'o':
            finalbin += str(0)
        else:
            finalbin += str(1)
# print(finalbin)
print(number.long_to_bytes(int(finalbin,2)))

在这里插入图片描述

ByteCTF{_enJ0y&y0ur

另辟蹊径

追踪udp流。

在这里插入图片描述

在序号为1的udp流中发现了隐藏的另一半flag

这个东西可能就是要看细心了,还有就是不放过任何一个细节。。。。。

在这里插入图片描述

se1f_wIth_m1sc_}

拼接起来得到最终flag

ByteCTF{_enJ0y&y0urse1f_wIth_m1sc_}

参考:W&M 白帽100安全攻防实验室 微信公众号

唐仔橙
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用tshark对pcap报文进行批量切流
村中少年的专栏
09-03 5399
通过一个具体的切流示例介绍一下tshark命令行的一些参数
Bytesctf2021 frequently详解
Demodd的博客
10-22 4208
frequently 先看的tcp的流,没发现什么东西,然后开始看UDP,在UDP的第一个流发现 得到 se1f_wIth_m1sc^_^} 然后一直往后看,在第68个流发现png的base64加密后的数据 base64解密一下发现 继续往后看发现多个一样的数据,传输图片无疑了。 当时解题时候直接依据这个提取了这部分数据,包括重复的包还有多的包等等(体现了对过滤语句的不熟练) 通过观察可以发现这部分数据的源地址和目的地址都是相同的可以先通过这个过滤 ip.src==10.2.173.238 and
wireshark、tcpdump常用命令--去重、抓包、过滤
buzhaodi2的博客
12-15 3266
1、tcpdump抓包去重 editcap -d 123.pcap filter.pcap 其中 123.pcap是要去重的包,filter.pcap是输出的去重之后的包 2、过滤sip消息 1、过滤所有invite的响应消息 tshark -r quchong.pcap -Y "sip.CSeq.method eq INVITE" -w gliu.pcap 2、过滤所有sip消息 tshark -r quchong.pcap -Y "sip" -w gliu.pcap 3、查看所有rt
tshark在流量分析中的绝佳应用(超详细)
热门推荐
LainWith的博客
03-28 1万+
目录简介参数tshark与wireshark对比基本命令获取数据包摘要信息显示时间格式捕获过滤器捕获并保存数据包显示过滤器区分显示过滤器和读取过滤器一些好用的显示过滤器-e参数的应用HTTP中的应用案例mysql中的应用案例-z参数的应用专家信息:**-z expert**追踪流:**-z follow**-z http统计数据包信息统计会话统计出所有IP显示每个协议树的具体信息导出对象追踪流追踪tcp流/http流追踪流数量读取TCP流-纯16进制读取TCP流-16进制读取TCP流-ascii获取TCP流
计算机网络实验(二)之Wireshark抓包分析获取URL列表(去重、排序、统计)
hudashuai的博客
09-15 1万+
实验要求 本试验要求基于第一次实验中访问某官网主页时所抓取到的数据包,用Python 3语言、Jupyter Notebook和Pyshark编写代码进行协议分析所需的开发环境,编写代码,以输出的方式列出首页以及其所包含的所有资源(至少包含如下类型 .html, .js, .css, .jpg, .jpeg, .png, .gif中每一类的所有资源)的URL。 实验内容 一、下...
面试
大王的博客
08-31 186
Linux切换其他服务器 使用命令:ssh root@192.168.31.27,退出这个服务器exit sql去重 举例 使用distinct语句 sql分组排序 select 字段from表名 where 条件groupby 字段 orderby 字段 desc; 3.如何开始编写测试用例,用例写到什么详细程度算合格。 没接触过的人也能执行, 4.缺陷的严重级别,如何定义 5.测试用例设计方...
misc-addons:Odoo插件
04-29
[14.0] Odoo插件 :check_mark: :check_mark: :check_mark: :check_mark: :check_mark: 其他插件资料库版本号 [7.0] itpp-labs /邮件附件[14.0] [13.0] [12.0] [11.0] [10.0] [9.0] [8.0] itpp-labs / misc-addons ...
2021-10-12T15_46_29.634969+00_00misc题_流量分析.rar
10-21
标题 "2021-10-12T15_46_29.634969+00_00misc题_流量分析.rar" 暗示这是一个关于网络安全竞赛(CTF)的挑战,涉及的是流量分析方面的内容。描述提到“CTF附件题——MISC类型——数据库登录”,表明该挑战可能需要...
攻防世界misc-pic-again
10-31
攻防世界misc_pic_again,misc杂项。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127623967
ISCC2021-MISC部分题目.zip
08-07
ISCC2021-MISC部分题目.zip是一个与ISCC(International Symposium on Computer Science and Convergence,国际计算机科学与融合大会)相关的压缩包文件。这个压缩包可能包含了该会议的多份论文、研究报告或者竞赛...
lucene-misc-6.6.0-API文档-中文版.zip
05-02
赠送jar包:lucene-misc-6.6.0.jar; 赠送原API文档:lucene-misc-6.6.0-javadoc.jar; 赠送源代码:lucene-misc-6.6.0-sources.jar; 赠送Maven依赖信息文件:lucene-misc-6.6.0.pom; 包含翻译后的API文档:lucene...
Linux下网络丢包故障定位
maimang1001的专栏
12-08 1万+
Linux下网络丢包故障定位 | syxdevcode博客转载: 云网络丢包故障定位全景指南 硬件网卡丢包Ring Buffer溢出 如图所示,物理介质上的数据帧到达后首先由NIC(网络适配器)读取,写入设备内部缓冲区 Ring Buffer中,再由中断处理程序触发 Softirq 从中消费,Ring Buffer 的大小因网卡设备而异。当网络数据包到达(生产)的速率快于内核处理(消费)的速率时,Ring Buffer 很快会被填满,新来的数据包将被丢弃https://syxdevcode.github.i
恶意流量分析训练七
Yale的博客
02-05 1789
通过该实验学会分析eml文件并从中提取出附件进行分析,包括根据生成的hash进行搜索等,掌握wireshark的关键过滤语法包括过滤tcp syn包、过滤重传包、过滤dns query包等,有意识培养取证分析的思维和思路。 根据本次实验所给材料,请分别给出从两个数据包分析出的细节,包括: 机器的host name,ip,mac地址 相关的邮件的信息 邮件附件的信息 本次给...
wireshark对重复包进行过滤
junqingdao的专栏
07-02 1万+
工作中
tshark 使用技巧
jmhIcoding
06-23 2795
tshark 删除乱序、重传数据包: tshark -2 -R "not tcp.analysis.retransmission && not tcp.analysis.out_of_order" -r 源文件.pcap -w 目标文件名.pcap' tshark 获取tcp流,并保存text格式 tshark -r 源文件.pcap -qz follow,tcp,raw,tcp流的编号 流的编号是0开始的。 其中raw是16进制串表示流的数据: 还可以hex显示,有数据的偏移: t
DNS域名系统详解
专注【PostgreSQL源码学习&研究】
04-28 721
文章目录1. DNS概述2. DNS报文格式3. DNS应用场景4. DNS实战分析5. 总结 1. DNS概述      当你想在某个浏览器中打开Chrome、Firefox、Bing等搜索引擎时,脑海里第一时间是想到输入:www.google.com(域名),还是输入ip地址:172.217.11.68. 习惯性地,都是输入域名地址,因为字符更容易被记住。比如,不用刻意,我们都能够轻易地记住淘...
ByteCTF2021-复现-misc-Hearing is not believing
ookami6497的博客
10-19 1236
里面大佬太强了,我好菜啊 下载附件得到一个hearing.wav文件 先用Audacity打开,查看频谱图,一看这前面是个二维码,拼就完事:画二维码网站(外国的) 先截得清晰一些 注意这是反色过的二维码,建议反色后再照着拼 拼出来的结果 扫描后得到 m4yB3_ ,一看就不全 然后我就不会了,,,后面看大佬的wp才知道后面是用 robot36 解密(和sstv搭配使用,sstv将图片转声音,由喇叭发声,,,,,robot36将声音转图像。。) 用手机装个robot36
ByteCTF2021 Misc-《HearingNotBelieving》
weixin_53617146的博客
10-26 322
老规矩AU打开音频,然后看频谱图。放大之后发现前面像是一个二维码被分成了三块 拼接了好久发现扫不出来,根据二维码的特征,将空白部分转成黑色,红色部分转成白色。 这里推荐大家一个拼接二维码的网站,https://h3110w0r1d.com/qrazybox/ 扫码得到第一部分 m4yB3_ 然后后面部分是SSTV 慢扫描 挺刺耳。sstv将图片转声音,由喇叭发声,麦克风拾音将声音转图像。 这里需要一些能将声音转成图像的工具,电脑可以用MMSSTV和RXSSTV,然后去下载一个虚拟声卡Virtual Au
kbd-misc-2.5.1
最新发布
09-13
kbd-misc-2.5.1是一个Linux操作系统下的键盘输入处理工具包,它包含了一些常用的工具和驱动程序,如loadkeys、dumpkeys、kbd_mode等。这些工具可以帮助用户配置和管理Linux系统下的键盘输入设备,包括设置键盘映射、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值