CTF流量分析经典例题详解

已于 2024-01-03 20:30:05 修改
阅读量1.8k 收藏 47
点赞数 30
分类专栏: 安全 CTF 网络 文章标签: 网络 web安全 wireshark 流量分析 安全 CTF
于 2024-01-03 08:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_68163788/article/details/135343740
版权
安全 同时被 3 个专栏收录
131 篇文章 3 订阅
订阅专栏
网络
31 篇文章 3 订阅
订阅专栏
CTF
4 篇文章 0 订阅
订阅专栏

目录

入门题型

题目:Cephalopod(图片提取) 

题目:特殊后门(icmp协议信息传输)

题目:手机热点(蓝牙传输协议obex,数据提取)

题目:想蹭网先解开密码(无线密码破解)

进阶题型

题目:抓到一只苍蝇(数据包筛选,数据提取)

本文章涉及的所有题目附件下载地址: 链接:

https://pan.baidu.com/s/18mWo5vn1zp_XbmcQrMOKRA 提取码:hrc4

声明:这里的例题都是已经总结好的,我只是在本篇中进行学习和复现

入门题型

题目:Cephalopod(图片提取) 

题目来源:XCTF 3rd-HITB CTF-2017 考点:图片提取 题目信息:(Cephalopod.pcapng)

因为这是一道关于CTF的题目,那么最重要相比就是“夺旗”了,打开该数据包会发现都是10.0.2.7和10.0.2.10的流量包,那么我们可以试着在分组列表、分组详细和分组数据流中找找是否有像flag那样的字符串:

果然在将查找对象修改为分组字符流后,查找到了一个flag.png的字符串

那么不用想,这肯定就是flag了,下面我们就尝试将追踪一下

在第2个流中我们发现了png的身影

那么就将它以原始数据导出

下面我们使用010editor打开保存的文件,然后使用查找直接查找png

删除png前面的字符后导出为png

打开图片就可以看到flag了

题目:特殊后门(icmp协议信息传输)

题目来源:第七届山东省大学生网络安全技能大赛 考点:字符串搜索,icmp协议信息传输 题目信息:(backdoor++.pcapng)

打开数据包后,就和上面的题目一样,我们首先还是搜索一下看是否有flag字符串

可以看到这里直接在分组数据流中找到了一个flagishere字符串,那就针对这里来进行分析

我们再到分组列表中查看了一下发现有很多连续icmp包再加上前面的包中写着flagishere相比flag就在附近了,点开后面的icmp包发现每一个包的相同位置中都有一个不同的字符,事出反常必有妖。

 

然后我们依次将这些字符提权出来组合起来发现就是flag:

 flag{Icmp_backdoor_can_transfer-some_infomation}

题目:手机热点(蓝牙传输协议obex,数据提取)

题目来源:第七季极客大挑战 考点:蓝牙传输协议obex,数据提取 题目信息:(Blatand_1.pcapng)

打开数据包后,还是同样的,我们先查找一下是否有flag

在这个数据包中有很多flag字符串,但是我还是觉得这个flag.gif比较可疑,因为就针对这个数据包来进行分析 

我再看看这个数据包,发现它是一个.rar压缩包,那就嫌疑更大了

方法1:那就试着将这个包来导出

 注:记着要导出为.rar格式

解压后就可以看到flag.png,打开就可以拿到flag了

方法2:还可以使用foremost进行分离,分离完成后再解压同员工可以得到flag

foremost下载地址:https://github.com/korczis/foremost

题目:想蹭网先解开密码(无线密码破解)

题目来源:bugku 考点:无线密码破解 题目信息:(wifi.cap)

打开数据包后,直接来查找是否有flag,查找结果并没有发现很明显的flag痕迹

根据提示:WIFI连接认证的重点在WPA的四次握手包,也就是eapol协议的包,我们来过滤一下

发现果然存在四次握手包,直接进行无线密码爆破 创建密码字典:

利用aircrack-ng 进行爆破:

可以看到成功的爆破出了flag{13910407686}

进阶题型

题目:抓到一只苍蝇(数据包筛选,数据提取)

题目来源:bugku 考点:数据包筛选,数据提取 题目信息:(misc_fly.pcapng)

可以看懂题目提示我们抓到了一只苍蝇

那么我们打开数据包来看看,试着搜索一下flag

发现了有一个可疑的fl ag.txt文件

根据题目的提示我们再来筛选一下“”苍蝇“”

还真的筛选除了一个数据包

分析该包中的内容发现这个包非常的可以,里面写了很多奇怪的文字,从其他地方可以看到,该数据包在发送qq邮件,还做了上传文件的操作

既然有上传文件的操作,那么我们来过滤一下POST数据包看看

可以看到13号数据包调用函数CreateFile,然后下面几个可能就是文件内容了,具体是几个,仔细看看URL,738号数据包有个需要调用函数CheckFile,并且前面的5个数据包url的路径一样, 所以从第一个开始,后5个数据包是flag.rar内容

我们将分组字节流中的原始数据分别保存为1、2、3、4、5,方便操作

但是由于TCP包有文件头,我们需要去掉文件头才能将原始数据合成一个文件, 从第一个数据包可以看出来:

文件大小是525701字节,我们需要的这5个数据包的大小(Media Type中可看到):

131436*4+1777=527521 527521-525701=1820 1820/5=364

tcp包的文件头就为364

然后使用linux的一些工具进行操作即可得到flag.rar 依次把五个文件去掉文件头保存到另一文件 这里使用dd:

dd if=1 bs=1 skip=364 of=1.1

dd命令语法:
if 输入文件名
bs 设置每次读写块的大小为1字节 
skip 指定从输入文件开头跳过多少个块后再开始复制
of 输出文件名

首先我们先将导出的五个文件上传到linux中

然后再用linux的输入流来合并成一个文件:

cat 1.1 2.1 3.1 4.1 5.1 > fly.rar
或者
copy /B 1.1+2.1+3.1+4.1+5.1 fly.rar

 将合成的文件再移动到Window中

尝试进行解压:发现报错了

使用011editor来看看这个压缩包

果然是fly.rar又被伪加密了,将其中的74 84改为74 80就能正常解压了

解压完后打开flag.txt发现里面是一堆乱码

然后我们再用010editor打开看看

它这里居然告诉我们需要在Win32中进行运行,既然可以执行那么我们来试试将后缀修改为.exe看看

修改为.exe文件后可以看到一堆苍蝇在桌面上爬,没有其他特别的东西

根据提示我们使用binwalk对该exe程序进行分解

可以看到分解出了好多东西,但是好像又没有什么有用的

根据提示我们需要使用foremost进行提取一下

 

可以看到提取出了一个二维码,扫描二维码就可以拿到该题的flag了

参考链接:

使用Wireshark进行网络流量分析-CSDN博客

攻防世界misc进阶之Cephalopod_攻防世界 cephalopod-CSDN博客

binwalk文件分离、提取——命令_binwalk -d-CSDN博客

Bugku-CTF分析篇-抓到一只苍蝇(在哪?here!卧槽?!好大一坨苍蝇。) - 0yst3r - 博客园 (cnblogs.com)

未知百分百
关注
  • 30
    点赞
  • 47
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 12
    评论
专栏目录
记一次流量分析实战——安恒科技(八月ctf
Battery的博客
05-07 8万+
一.目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问。 二.关卡列表 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器? 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是? 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台? 某公司内网网络被黑
一道冰蝎文件流量分析例题
09-01
一道冰蝎文件流量分析例题
CTF流量分析:从入门到精通】
最新发布
qq_33295410的博客
02-27 1万+
CTF(Capture The Flag)是一种网络安全竞赛,其中流量分析是一种常见的型。流量分析就是通过分析网络流量包,提取出有用的信息,如密码、密钥、文件、flag等。流量分析需要掌握一些基本的网络协议知识,以及一些常用的工具和技巧。本文将介绍流量分析的基本概念,常见的型和解方法,以及一些实战案例,帮助你从入门到精通流量分析
两道CTF流量分析,寻找flag!
03-10
目1:在流量中寻找管理员的密码!提交格式为flag{密码} 目2: 问1:安全审计设备上捕获了一条OPC流量,疑似遭遇黑客攻击,请分析出黑客攻击的流量编号。(仅需找到流量编号即可) 问2:找出藏匿在流量包中的flag(格式为flag{})
CTF web安全经典例题讲解
10-22
该内容为CTFweb安全经理例题讲解,包含sql注入,密码学、文件上传,提权、抓包改包等多种型讲解,图文结合,适合新手学习。
CTF 流量分析Wireshark Certificate例题
晚安這個未知的世界
01-27 6511
前言 昨晚6点多的时候,朋友突然给我发了一道流量分析,当时在吃饭,结果一直到8点多才开始分析这个流量包,这种在网上太少碰到 目附件链接:https://pan.baidu.com/s/1Vz8XBen_nrkfqRxSDbN2sg 密码:7xq8 先打开附件,一看上去就只有TLSv1.2和TCP两种协议,以往流量包解的最多都是HTTP协议,所以我们要进行解密才能看到里面的包加密信息,然后由于前段时间的羊城杯CTF比赛也是有一流量分析,里面有很多TCP协议,我就看一下是不是TCP隐写,结果不是。
CTF流量分析
shy的博客
06-05 2万+
CTF杂项中存在一种型——流量分析,主要是给你一个流量包,让你分析获取其中的flag的值。 有5种方式,可以直接查找flag。 1、直接搜索 2、使用notepad++等软件,直接打开流量包,搜索关键字 3、编写python脚本 #encoding:utf-8 #用二进制方式读取文件 file=open("networking.pcap","rb") #读取文件内容 i=file.read() #查找字段 a1=i.find("flag{") a2=i.find("}",a1) #将查
ctf工控 流量
qq_61768489的博客
10-17 2748
某工程师在运维中发现了设备的某些异常,怀疑可能遭受到了黑客的攻击,请您通过数据包帮助运维人员确定出被遭到了攻击的数据包。Flag格式为:flag{hex的data数据包后90位,字母为大写}工程师发现电力网络中存在异常流量,尝试通过分析流量包,分析出流量中的异常数据,并拿到FLAG,flag形式为 flag{}。工业协议中存在异常数据。请通过流量中的数据找寻 flag,flag形式为 flag{}。某黑客拿到上位机的权限后对工控设备存储的数据进行了大量的修改,请分析其攻击数据,并找到其中的flag信息。
CTF流量分析
m0_37442062的博客
05-03 3768
1.flag被盗了,pcap(gnnl) 尝试http过滤,get或者post追踪tcp流即可,这里是post, flag{This_is_a_f10g} 2.这么多数据包找找吧,先找到getshell的流pcap(vn78) 过滤tcp TCP流通常是命令行操作 Q0NURntkb195b3VfbGlrZV9zbmlmZmVyfQ== 解码:CCTF{do_you_like_sniffer} 3.有一天皓宝宝没了流量只好手机来共享,顺便又从手机发了点小秘密到电脑,你能找到它吗?
CTF 流量包相关-流量分析(1)
qq_56815564的博客
04-28 9999
前面的flag不论是直接给你明文,还是有一定的编码,都是比较简单的,像这些十成甚至九成都会是签到,所以了解一下知道有这种情况就好,重点不再这边另外这里还是给出一下风佬的脚本吧,虽然我感觉用到的几率应该不会很大,如果要用的话,那个破空查flag的工具应该会比较好用,下载的话,风佬的git里面应该有,这里就不给了。
流量分析-CTF-ATTACK流量分析
theenderofroot的博客
04-18 977
1. 使用Wireshark查看并分析虚拟机windows 7桌面下的attack.pcapng数据包文件,通过分析数据包attack.pcapng找出黑客的IP地址,并将黑客的IP地址作为FLAG。回过头来看第2,因为黑客的端口探测技术无非是通过爆破端口号实现的,那么我们不需要看黑客的请求包,只看服务器的响应包就行了,把源目ip调换位置。2. 继续查看数据包文件attack.pacapng,分析出黑客扫描了哪些端口,并将全部的端口作为FLAG从低到高提交。
CTF 隐写术经典例题讲解
10-22
该内容为CTF隐写术经理例题讲解,包含图片隐写,流量分析,文件查看,文件分离,加密解密等多种型讲解,图文结合,适合新手学习。
CTF MISC安全杂项经典例题讲解
10-22
该内容为CTFMISC安全杂项经理例题讲解,包含图片隐写,流量分析web安全等多种型讲解,图文结合,适合新手学习。
CTF Misc(3)流量分析基础以及原理
Ba1_Ma0的博客
10-11 2958
流量分析基础以及原理
CTF流量分析之密码文件
shy的博客
08-11 955
深夜里,Hack偷偷的潜入了某公司的内网,趁着深夜偷走了公司的秘密文件,公司的网络管理员通过通过监控工具成功的截取Hack入侵时数据流量,但是却无法分析出Hack到底偷走了什么机密文件,你能帮帮管理员分析出Hack到底偷走了什么机密文件吗?只能导出http流量内的文件,选中想要保存的文件,点击save,即可保存成功,但是保存的文件中还有大量的流量数据包,需要手工删减。6、如果有流量,就追踪TCP流,然后将默认数据保存格式为ASCII,需要修改为原始数据,选择另存为。2、统计-协议分级,发现存在FTP流量。
ctf流量分析学习
一大口木的博客
11-13 1517
链接:https://pan.baidu.com/s/1e3ZcfioIOmebbUs-xGRnUA?pwd=9jmc提取码:9jmc前几道比较简单,是经常见、常考到的类型。
CTF——流量分析型整理总结
热门推荐
小锤队长的博客
12-19 4万+
我见过的流量分析类型的目总结: 一,ping 报文信息 (icmp协议) 二,上传/下载文件(蓝牙obex,http,难:文件的分段上传/下载) 三,sql注入攻击 四,访问特定的加密解密网站(md5,base64) 五,后台扫描+弱密码爆破+菜刀 六,usb流量分析 七,WiFi无线密码破解 八,根据一组流量包了解黑客的具体行为 例题: 一,ping 报文信息 (icm...
ctf流量分析练习一
gclome的博客
08-23 3578
最近在学习流量分析这块的内容,找到一篇不错的文章,就准备复盘一下。 原文链接:https://www.freebuf.com/column/169738.html Q1 打开这个流量包,大致分析一下是一个邮箱请求登陆的一个流量包,一眼就看见了 user和pass,需要base64解密一下即可。 base64解密地址:https://base64.supfree.net/ username:[email protected] password:FLAG:ISCCTESTpas flag就藏在password里 Q
两道CTF流量分析分享
seek_2022的博客
03-10 1902
本文分享了两道CTF流量分析,分析的过程充满着许多乐趣,希望本文分享的两道的分析对大家学习相关技能有帮助。
wireshark流量分析 例题
12-26
Wireshark是一款开源的网络协议分析软件,可以用来捕获和分析网络流量。通过Wireshark流量分析,我们可以了解网络中传输的数据包的内容、协议类型、源与目的地址、数据大小等信息,从而帮助我们诊断网络、优化网络性能、检测网络安全等。 Wireshark可以捕获各种网络协议的数据包,包括TCP、UDP、HTTP、FTP等。我们可以通过Wireshark来捕获特定源或目的地址的数据包,也可以过滤特定的协议类型或数据内容,以便更好地观察和分析网络流量。 当我们进行Wireshark流量分析时,首先需要选择合适的网络接口进行数据包捕获。然后,我们可以开始捕获数据包,并在Wireshark的界面上观察捕获到的数据包的详细信息。通过查看数据包的各种字段,我们可以分析出数据包的来源与目的地、传输的协议类型、通信过程中的状态等信息。 除了对网络流量进行实时分析外,Wireshark还提供了一些统计功能,可以帮助我们对捕获的数据包进行更细致的分析。例如,我们可以查看某个特定协议在流量中的占比,或者分析某个特定源地址或目的地址的通信情况等。 总之,通过Wireshark流量分析,我们可以深入了解网络中的数据传输情况,发现潜在的网络,提高网络性能,确保网络安全。因此,Wireshark网络工程师和安全专家必不可少的利器。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

未知百分百

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值