stealer流量分析

最新推荐文章于 2024-11-26 23:45:00 发布
最新推荐文章于 2024-11-26 23:45:00 发布
阅读量327 收藏
点赞数
分类专栏: CTF 文章标签: python 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45554491/article/details/120064377
版权

Stealer流量分析

1、打开流量包,发现dns包中含有大量类似于base64的字符

在这里插入图片描述

2、复制其中的一段字符,放入CyberChef工具中分析,发现了PNG ,猜测所有的数据构成了图片,需要想办法处理数据,恢复图片在这里插入图片描述
3、通过过滤条件dns and ip.src==172.27.221.13去掉重复的数据流量,设置不显示ip,时间,端口,只显示Info信息

在这里插入图片描述

4、将分组解析结果导出为data1.csv,改后缀为.txt,得到文件data1.txt,并将不需要的前后几行内容删除

在这里插入图片描述

5、进一步对数据进行处理

我们需要做什么:

a、去掉前后引号

b、去掉前三列字符和ctf.com.cn OPT字符串

c、去掉字符中base64中不存在的字符-.

d、将*字符替换成+字符

别问为什么?问就是经验尝试,其实是看别人博客知道的

借助python脚本,处理文本(小白略显粗糙的代码)

f=open("data1.txt","r")
line = f.readlines()
num = len(line)
i=0
while i < num:
    s1=line[i] 
    s1 = str(s1[25:])
    s1=s1.replace("*","+")
    s1=s1.replace("-.","")
    s1=s1.replace('ctf.com.cn OPT"',"")
    with open("data2.txt","a") as f2:
        f2.write(s1)
    i+=1
f.close()
6、得到处理后的文件data2.txt,再利用脚本或者在线base64转换图片的网站得到图片,获取flag

在众多数据中含有两条无用的数据,导致我做了好久,记得删除
在这里插入图片描述

将base64转换成图片的的python脚本(直接借用网上的)

import os,base64
with open("data2.txt","r") as f:
    imgdata = base64.b64decode(f.read())
    file = open('1.jpg','wb')
    file.write(imgdata)
    file.close()

在线base64转换图片的网站,注意转换时候加上一个头部信息data:image/png;base64,,否则转不出来

imgtobase
在这里插入图片描述

小镇航海家
关注
专栏目录
CTF——流量分析题型整理总结
小锤队长的博客
12-19 5万+
我见过的流量分析类型的题目总结: 一,ping 报文信息 (icmp协议) 二,上传/下载文件(蓝牙obex,http,难:文件的分段上传/下载) 三,sql注入攻击 四,访问特定的加密解密网站(md5,base64) 五,后台扫描+弱密码爆破+菜刀 六,usb流量分析 七,WiFi无线密码破解 八,根据一组流量包了解黑客的具体行为 例题: 一,ping 报文信息 (icm...
2021-CISCN西南赛区线下-misc-stealer
zji
06-07 1982
stealer 题目描述: stealer 那女孩对我说说我是一个小偷(本题flag 格式为 DASCTF{},提交时只需要提交括号中间的字符。flag需小写) hint:MISC-stealer: focus on DNS CRYPTO 知识点 1.DNS后面的base64 2.然后base64转换为图片 解题步骤 参考津门杯 过滤DNS 我们发现重复了,内容重复 然后过滤一遍ip就可以了。 dns and ip.src==172.27.221.13 然后保存csv文件。 去掉无用的字符“Stand
XSS获取COOKIE
04-20
XSS获取COOKIE
渗透测试ctf软件黑客工具(第一)
kaitoulee
05-10 6669
名 称版 描 述 主 页 0trace1.5跳跃枚举工具http://jon.oberheide.org/0trace/ 3proxy0.7.1.1微小的免费代理服务器。http://3proxy.ru/ 3proxy-win32的0.7.1.1微小的免费代理服...
CTF省赛练习笔记(1)流量分析WP
JaySRJ7的博客
10-06 4216
** CTF省赛练习笔记MISC—流量分析篇 ** 一、第三届上海市网络安全大赛 流量分析——traffic 1.下载附件用wireshark打开 2.一开始搜索字符串flag没有发现什么有价值的东西,接下来想到筛选一些流量进行分析,在筛选ftp-data时发现有几条流量都含有flag.zip,想到将他们导出分组字节流。 3.经过分析后发现可以导出的是一个key.log和两个压缩包(key.l...
# Cobalt Strike:使用已知的私钥解密流量-Part 2
爱我非你莫属的博客
05-06 563
博客系列:Cobalt Strike:流量解密 Cobalt Strike:使用已知的私钥解密流量-Part 1 Cobalt Strike: 使用已知的私钥解密流量 - Part 2(当前部分) Cobalt Strike: 使用进程内存解密流量 - Part 3 Cobalt Steike: 解密被掩盖的流量 - Part 4 Cobalt Strike: 解密DNS流量 - Part 5 我们发现6个流氓软件Cobalt Strike的私钥,可以用来将C2网络流量进行解密 在这篇文章中,我们将通过
WiFi流量劫持—— JS脚本缓存投毒
放逐的天空
02-05 2323
在上一篇《WiFi流量劫持—— 浏览任意页面即可中毒》构思了一个时光机原型,让我们的脚本通过HTTP缓存机制,在未来的某个时刻被执行,因此我们可以实现超大范围的入侵了。   基于此原理,我们用NodeJS来实现一个简单的样例。得益于node强大的IO管理,以及各种封装好的网络模块,我们可以很容易实现这个想法:    开启一个特殊的DNS服务:所有域名都解析到我们的电脑上。并把Wifi的D
JS写XSS cookie stealer来窃取密码的步骤详解
10-18
JavaScript是web中最常用的脚本开发语言,js可以自动执行站点组件,管理站点内容,在web业内实现其他有用的函数。这篇文章主要介绍了JS写XSS cookie stealer来窃取密码的步骤详解,需要的朋友可以参考下
cookie-stealer:一个简单JavaScript工具,用于窃取Cookie
04-05
饼干偷 一个简单JavaScript工具,用于窃取Cookie
SAM Stealer-开源
07-19
该项目基于 Sam Rape。 最终产品是一个可启动软盘,它复制 sam 文件、压缩它并将其放在磁盘上。 详细说明可在 datastronghold.com/archive/t10429.html 上找到
pepe-stealer:偷人
05-19
aklreaxmer.github.io/pepe-stealer
cineshots-scene-stealer
07-01
Reddit /r/CineShots 图像保存应用程序 这段代码将获取发布在上的指定页数的图像,并将它们保存在本地项目目录中。 我将其保存以供以后参考,并可能将其构建为体面的东西。 目前,它将保持 hacky 和未经测试。...
CTF实战之Stapler
m0_49050230的博客
09-23 434
CTF实战之Stapler Penetrating Methodology: 0x01 网络扫描(Nmap, netdiscover) nmap -sP 192.168.153.0/24 通过筛选找到靶机地址 扫描靶机端口 nmap -sT -T4 -sV -p 1-65535 192.168.153.154 通过端口扫描发现靶机开了很多端口 我们一个一个来 先连接FTP和SSH试一下 虽然有密码 但发现一个有意思的事情 Harry和Barry都是人名,我们先收集起来等会用字典破解一下
python系列】python数据类型之集合
学习学习再学习
11-23 967
python常用数据类型之集合
python操作Elasticsearch
a961634066的博客
11-25 299
使用elasticsearch 6.x版本,操作es数据。
使用Node2Vec进行知识图谱嵌入的详细教程
Y-starrydreamer的博客
11-26 684
Node2Vec 是一种用于将图的节点嵌入到向量空间的方法。其思想来源于Word2Vec,即使用随机游走技术生成节点序列,然后利用这些序列训练嵌入模型。Node2Vec 结合了DFS(深度优先搜索)和BFS(广度优先搜索),能够在图中同时捕捉局部和全局的结构信息。通过本文的介绍,读者应该对 Node2Vec 的原理和应用有了较为全面的了解。在知识图谱嵌入的实际应用中,Node2Vec 提供了一种灵活且有效的解决方案。通过合适的参数调节,Node2Vec 可以在全局和局部信息的平衡中生成高质量的节点嵌入。
图论入门编程
最新发布
Rain
11-26 205
【代码】图论入门编程。
Python内置函数
2401_85737078的博客
11-23 525
compile(source, filename, mode, flags=0, dont_inherit=False, optimize=-1): 将源代码编译为代码对象,可以指定编译模式(exec, eval, single)。slice(start, stop[, step]): 返回一个表示由 range(start, stop, step) 指定索引集的 slice 对象。pow(x, y, z=None): 返回 x 的 y 次幂,如果 z 存在,则返回 x 的 y 次幂对 z 取模的结果。
Python语法基础(一)
in_seattle的博客
11-26 442
在这个函数的定义当中,我们在形参中,对age和address进行了赋值,这样做的好处是,即使我们传入的参数小于三个,这个函数仍然可以成立。我们前面说函数和变量是很类似的,与给函数赋值和给变量赋值,结果也是极其相似的,我们来看一下给变量的赋值。这个代码是会报错的,因为func1中的变量在func2中是无法直接使用的,因为两个的作用域并不相同。闭包的前提是函数的嵌套定义,在内部函数当中使用了外部函数的变量。首先,在上面的这个嵌套定义的代码中,执行结果是这样的。是运行不起来的,因为这个时候它的类型发生了改变。
Vira-2: USB静默拷贝VBScript的隐蔽性文件窃取工具
资源摘要信息:"Vira-2是一个使用VBScript编写的恶意脚本工具,设计用于在USB可移动驱动器插入计算机时自动复制驱动器内的所有文件。VBScript是微软Windows操作系统中用于运行脚本程序的一种语言。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值