CTF——MISC习题讲解(流量分析winshark系列)
前言
上一章节我们已经做完一场流量分析杂项题目,接下来继续给大家讲解流量分析系列。
一、misc4
打开题目后除了一个流分包还有一个txt文档
既然都这么告诉了,那就直接在统计里寻找一下这个特殊的PHP文件
然后直接在界面搜索一下这个文件看看
直接能得到flag,其实这个题也就是基础题,并不是太难,只要会统计这个功能几乎就可以的。
flag{FLAG-GehFMsqCeNvof5szVpB2Dmjx}
二、telnet
打开题目后发现还是有一个wishing文档,这样的文档一定得读一下
目前没有什么大的用处,那么我们就继续看看流量分析包,因为题目是telent,那指定和这个有关,直接筛查telent协议即可
然后直接右键追踪流看看
发现有flag字眼了已经
发现flag直接呈现了出来,但是正常的flag不会有中间那3个点
这个题的重难点就在于这3个点,其实这3个点叫做不可打印字符
那么接下来我们就应该考虑一下如何把这个处理一下,我们要把这个数据存为16进制的
发现这三个点对应的ASCII码是08
那么查看对应的ASCII表格可以看到08对应的是退格
所以28dxws…982kwalx8e
退格之后变成 28d982kwalx8e,这也就是最终的flag
flag{28d982kwalx8e}
三、蓝牙协议2
打开题目后观察如下
因为题目中已经告诉是蓝牙,所以点击 统计->协议分级
搜索后发现在这里有一个压缩包,感觉应该是一个突破点
直接导出压缩包进行查看
保存后发现,得用7z为结尾才可以,压缩包没有办法暴力破解解密,看文档中名字是
搜索一下pin看看有没有什么线索
试试这个密码看看是不是正确的
最终获取到flag{6da01c0a419b0b56ca8307fc9ab623eb}
四、USB-键盘流量
这个题因为题目告诉我们是USB-键盘流量分析
可以看到都是USB的,直接上脚本就可以,但是在上脚本之前要做些配置
先查看一下脚本
我们找到winshark文件所在的目录
给他设置一个全局变量
设置完后,开始运行脚本即可
flag{thisisgoodkeyboard}
代码脚本如下
-*- coding: cp936 -*
import os
os.system("tshark -r test.pcapng -T fields -e usb.capdata > usbdata.txt")
normalKeys = {
"04":"a", "05":"b", "06":"c", "07":"d", "08":"e", "09":"f", "0a":"g", "0b":"h", "0c":"i", "0d":"j", "0e":"k", "0f":"l", "10":"m"</