流量、日志分析

最新推荐文章于 2024-04-02 12:15:18 发布
最新推荐文章于 2024-04-02 12:15:18 发布
阅读量320 收藏
点赞数
分类专栏: 刷题笔记 作业 文章标签: 网络 经验分享 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44640313/article/details/132051793
版权
本文介绍了如何使用Wireshark进行流量包分析,包括搜索特定关键字、SSL私钥解密和HTTP内容查看。同时,涉及日志分析中的SQL注入检测、ASCII码还原和加密解码,展示了在网络安全事件中的应用过程。
摘要由CSDN通过智能技术生成

流量分析

知识点:

流量包分析简介 - CTF Wiki (ctf-wiki.org)

Wireshark 基本语法,基本使用方法,及包过虑规则_wireshark语法_竹痕的博客-CSDN博客

MISC:流量包取证(pcap文件修复、协议分析、数据提取)_流量数据文件提取_小哈里的博客-CSDN博客

[DDCTF2018]流量分析 

看了提示存在一个私钥

流量包中搜索KEY

tcp contains "KEY"


 有一串base64的图片数据,追踪流把它拿出来

Base64解码

ORC在线识别 

 套上正确的SSL私钥格式

 在wireshark中TLS用该SSL私钥进行解密

然后就可以查看http传输内容了

追踪一下HTTP流即可

发现flag

攻防世界-misc-流量分析1

wireshark打开,发现很多HTTP和TCP的包

 追踪流看看

请求包url解码看看 

GET /index.php?url=gopher://127.0.0.1:80/
_POST /admin.php HTTP/1.1
Host: localhost:80
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 78

id=1) and if((ascii(substr((select flag from flag),1,1))='45'),sleep(3),0) --

可以看到是一个ssrf和sql的时间注入

对flag读取第一个字符转换为ascii码,如果和45相等,就延时三秒,就是对数据库中的flag进行猜解

那我们过滤数据包的条件就在wireshark输入命令,http.time >=3

 一共14个包,依次对这14次请求的参数进行ASCII码还原,得到flag

flag{1qwy2781}

攻防世界-misc-流量分析

打开流量包,大概浏览了一下,发现找到了一些get语句

 拿出一句分析一下看看,可以发现是一个sql的注入查询,substring函数取字符串的特定位置,从1取到38。查看每个位置对应的ascii码,当ascii码正确时,取下个位置

id=1' and ascii(substring((select keyid from flag limit 0,1),1,1))=100#

用了下大佬的脚本

import re

with open("1.pcapng", "rb") as f: #打开名为"1.pcapng"的文件,使用二进制模式读取文件内容。
    contents = f.read()
    res = re.compile(r'0,1\),(\d+),1\)\)=(\d+)%23').findall(str(contents))  #使用正则表达式模式匹配文件内容,提取符合模式的数据。匹配到的结果以列表形式存储在变量res中。
    dic = {}    #创建一个空字典dic。
    for a, b in res:   #遍历匹配到的结果列表。
        if a in dic:      #检查字典dic中是否已存在键a。

            if int(b) > dic[a]:   #如果当前匹配到的值b(转换为整数类型)大于字典中键a对应的值,则执行以下操作。
                dic[a] = int(b)    #更新字典dic,将键a的值更新为当前匹配到的值b(转换为整数类型)。
        else:
            dic[a] = int(b)
    flag = ""
    for i in range(1,39):    #遍历范围为1到38的整数。
        flag += chr(dic[str(i)])   #将字典dic中键为字符串形式的当前整数i的值,转换为相应的字符,并添加到字符串flag中。
    print(flag)

 得到结果

 

 日志分析

知识点:

电子取证-Windows日志分析 | W4rnIn9 (joner11234.github.io)

日志分析_RuoLi_s的博客-CSDN博客

[陇剑杯 2021]简单日志分析(问1)

某应用程序被攻击,请分析日志后作答:
黑客攻击的参数是______。(如有字母请全部使用小写)

直接看日志文件,可以发现参数是user 

 

[陇剑杯 2021]简单日志分析(问2)

某应用程序被攻击,请分析日志后作答:
黑客查看的秘密文件的绝对路径是_____________。

base64解密里面传的语句即可得到

 [陇剑杯 2021]简单日志分析(问3)

某应用程序被攻击,请分析日志后作答:
黑客反弹shell的ip和端口是_____________。

和上一问一样,分析这些语句,解密后就知道 

[闽盾杯 2021]日志分析 

一个日志文件,解码后发现有sqlmap的日志 ,大概分析一下

判断其ascii码值的大小关系,判断正确返回的长度为675错误返回长度678这样我们就可以根据每一位的返回结果判断具体的ascii值通过搜索password分析

一直推下去 ,最后将ascii转换为字符即可

NSSCTF{ngjfdsUbdK}

0e1G7
关注
专栏目录
CTF---Web---文件包含---07---包含日志
qq_22160557的博客
07-28 2065
文章目录前言一、题目描述二、解题步骤1、判断系统2、访问日志3、linux特殊文件系统(/proc)三、总结 前言 题目分类: CTFWeb—文件包含—07—包含日志 一、题目描述 题目: 文件包含 链接:http://172.16.15.206/stage/6/index.php?file=says.php 提示:成功包含apache访问日志即可拿到key值 二、解题步骤 1、判断系统 首先,考生需要弄清楚这是一个windows系统还是一个linux系统,如果考生尝试包含win.ini则会提示失败,
CTF学习日记(2)
NUC_zlt的博客
11-01 1313
CTF学习日记第二次总结
NSSCTF之Misc篇刷题记录⑩
Aluxian_的博客
05-11 2028
[CISCN 2022 初赛]ez_usb [SWPUCTF 2021 新生赛]你喜欢osu吗? [SWPUCTF 2021 新生赛]Bill [SWPUCTF 2021 新生赛]二维码不止有二维码 [HGAME 2022 week1]好康的流量 [红明谷CTF 2022]MissingFile [广东省大学生攻防大赛 2021]这是道签到题 [羊城杯 2022]签个到
CTF-MISC-日志分析
m0_62207482的博客
01-13 1518
先分析 sql 文件,搜索 sql 相关语句,我搜索的是 admin,还有 order by、筛选相应的关键词如 union、select 等,或者筛选可能存在的 sql.php 这样的。筛选访问了 news.html 的所有 IP 地址,发现很多 404 的界面,猜测存在注入,根据 http 的状态码,500 为 web 服务中断,直接搜索字符串 500,找到在此之。背景:某网站遭到境外 ip 攻击,请通过 log,找到找到访问 news.html 最多的。个 IP,确实是一直在爬取网站的图片。
2021CTF工业信息安全技能大赛-被加密的系统日志
qq_43264813的博客
07-01 1854
2021CTF工业信息安全技能大赛-被加密的系统日志 某日公司车间部分上位机软件无法运行,网络安全工程师小吕怀疑机器感染了勒索病毒,小吕想通过恢复系统日志进一步确认病毒感染时间,你能帮助小吕将日志恢复出来吗?flag格式为:flag{}。 二、解题步骤 1.解压拿到文件根据内容分析可能是被勒索病毒所加密,使用BDGandCrabDecryptTool进行破解 2.破解拿到一个日志文件,使用note++打开过滤flag ...
Suricata + Wireshark离线流量日志分析
10-06
它们的结合使用可以帮助我们进行深入的离线网络流量日志分析,从而检测潜在的威胁、优化网络性能或者进行故障排查。以下是对这两个工具及其在流量日志分析中的应用进行的详细说明。 **Suricata:** Suricata是一款...
基于Hadoop网站流量日志数据分析系统.zip
06-24
基于Hadoop网站流量日志数据分析系统 1、典型的离线流数据分析系统 2、技术分析 - Hadoop - nginx - flume - hive - mysql - springboot + mybatisplus+vcharts nginx + lua 日志文件埋点的 基于Hadoop网站流量...
hadoop项目--网站流量日志分析--4.docx
10-23
Hadoop 项目网站流量日志分析 Hadoop 项目中,网站流量日志分析是一个非常重要的应用场景。在这种场景中,对数据采集部分的可靠性、容错能力要求通常不会非常严苛,但需要注意的是结合语境明白是何种含义的数据采集...
基于Hadoop的流量日志分析系统.docx
11-07
这篇基于Hadoop的流量日志分析系统的学士学位毕业论文,深入探讨了Hadoop在大数据处理中的应用及其优势。 首先,Hadoop架构是论文的核心研究对象。Hadoop是由Apache基金会开发的一个开源项目,旨在提供一种分布式...
hadoop项目--网站流量日志分析--2.docx
10-23
【Hadoop项目——网站流量日志分析】 在网站流量日志分析中,数据采集是整个流程的第一步,它涉及到如何有效地收集和传输网站用户行为数据。在这个场景下,虽然对数据采集的可靠性与容错能力的要求可能不如其他业务...
网络安全日志分析-题集1-[闽盾杯 2021]日志分析
m0_51198141的博客
12-01 676
flag 为 password 字段值日志分析势必要知道日志的行为,这道题知道Password使用的是Sql布尔盲注,依次分析即可,这里的password只有十位,所以手动和自动化都无所谓,但是如果再长就需要进行自动化处理,
CTF-电子数据取证-日志分析(第2题)
asd158923328的博客
08-25 3179
根据题意 进入环境,下载文件,用记事本打开,搜索password 13/Sep/2018:16:37:54 +0800验证得到key
CTF实战训练日志——2021-10-14(七)
热门推荐
stybill的博客
10-14 5万+
题目:利用Burp进行密码绕过 在Username中,无法输入内容,Password可以输入。 解题思路 利用Burp抓包,然后修改响应包的内容 Action -> Do intercept -> Response to this request -> Forward 分析响应包,我们会发现中的【R0pDVEY=】,这个值很明显是经过base64加密过的,解密之后,发现结果为GJCTF,这个值和Username中的一样,说明Username需要经过base64加密变成校.
CTF-日志文件分析溯源(中断WEB业务的IP)
asd158923328的博客
08-21 1676
靶场地址: https://www.mozhe.cn/bug/detail/Ujh0d1pHQ1JpUU5adUFNY0VsQmxxUT09bW96aGUmozhe 根据题意 进入环境,下载文件,记事本打开,搜索500(找到提交一个POST请求后导致出现500状态码的IP地址) 验证IP得到key ...
bugku ctf 字符?正则?
qq_42777804的博客
08-01 1463
打开网站 是一段php代码 <?php highlight_file('2.php'); $key='KEY{********************************}'; $IM= preg_match("/key.*key.{4,7}key:\/.\/(.*key)[a-z][[:punct:]]/i", trim($_GET["id"]), $match); ...
Windows应急响应(三 FTP暴力破解)
weixin_43781139的博客
11-09 1442
0x00 前言 ​ FTP是一个文件传输协议,用户通过FTP可从客户机程序向远程主机上传或下载文件,常用于网站代码维护、日常源码备份等。如果攻击者通过FTP匿名访问或者弱口令获取FTP权限,可直接上传webshell,进一步渗透提权,直至控制整个网站服务器。 0x01 应急场景 ​ 从昨天开始,网站响应速度变得缓慢,网站服务器登录上去非常卡,重启服务器就能保证一段时间的正常访问,网站响应状态时而飞快时而缓慢,多数时间是缓慢的。针对网站服务器异常,系统日志和网站日志,是我们排查处理的重点。查...
福建省第二届“闽盾杯”部分Write Up
weixin_45935838的博客
12-03 2181
WP—decode 根据题目已知: n1: 15228664629164509105936278301396170708905691970126305196584505186788860519598413718493859625462561931380632032431490419378905593909771649295663481782473029836321132574188559245931660756414915507930357509270674460219615256962333464689
Linux&Windows 日志分析 陇剑杯 CTF
最新发布
m0_63416413的博客
04-02 1670
日志分析入门,根据日志学习linux日志windows日志,分析sql注入等 web security
Windows日志审计练习
m0_73481504的博客
03-29 690
n1选项指定了只显示文件末尾的一行为数。这个命令常用于快速查看正在更新的日志文件的最新记录。事件ID4672为新登录分配特殊权限,记录登录用户名,登录用户权限。事件ID 4624登录成功登陆类型2,在本地键盘上进行的登录。将flag.jpg以Notepad++方式打开。http另存为jpg图片文件。一共有174658次请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值