CTFHUB技能树-Misc-流量分析-ICMP

最新推荐文章于 2024-05-28 15:44:27 发布
最新推荐文章于 2024-05-28 15:44:27 发布
阅读量7.7k 收藏 22
点赞数 10
分类专栏: CTF writeup python 文章标签: python CTFHub ICMP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/valecalida/article/details/112557217
版权
python 同时被 3 个专栏收录
41 篇文章 3 订阅
订阅专栏
CTF
21 篇文章 1 订阅
订阅专栏
writeup
2 篇文章 0 订阅
订阅专栏

目录

Tips:代码仅供借鉴学习,还请大家多多思考

ICMP-Data:

ICMP-Length:

ICMP-LengthBinary

如博客有侵权请联系我,这边立马做处理,如果文章内容有问题,也请私信给我,我会纠正,本人是菜狗,拒绝喷子

Tips:代码仅供借鉴学习,还请大家多多思考

ICMP-Data:

根据题目给出的提示进行过滤显示,这里可以看到,ICMP协议Data部分的内容发生了变动,看后面的流量很容易就发现了ctfhub这个字符串,所以根据字符在data中的位置取值并转化为字符串即得flag

# coding = utf-8
# --author:valecalida--
from os import system as get_hex
# 调用tshark时需要将tshark加入环境变量,且脚本需要与流量包在一个路径下

get_hex("tshark -r icmp_data.pcap -Y \"icmp && icmp.type==8\" -T fields -e data > flag.txt")
f = open('flag.txt', 'r')
flag = ''
for line in f.readlines():
    flag += chr(int(line[16:18], 16))
print(flag)
f.close()

方法二:使用pyshark解析并获取flag

# coding = utf-8
# --author: valecalida--

import pyshark

cap = pyshark.FileCapture("icmp_data.pcap", display_filter="icmp && icmp.type==8")
flag = ''
for i in range(0, 25):
    flag += chr(int(str(cap[i].icmp.data_data)[24:26], 16))
print(flag)
cap.close()

 依然是7行完成flag的获取

ICMP-Length:

根据题目给出的提示进行过滤显示,这里可以看到,ICMP协议Data部分的Length都是人为指定的,所以只需要把这一部分的值取出来,再转换成字符串即可获取flag

 因为协议的字段都是层层递进的,所以这个部分根据字段头部取值即可,即data.length

# coding = utf-8
# --author:valecalida--
from os import system as get_code

# 调用tshark时需要将tshark加入环境变量,且脚本需要与流量包在一个路径下
get_code('tshark -r icmp_len.pcap -Y "icmp && icmp.type==8" -T fields -e data.len > flag.txt')
f = open('flag.txt','r')
flag = ''
for line in f.readlines():
    flag += (chr(int(line.strip())))
print(flag)
f.close()

方法二:使用pyshark来对流量进行解析

# coding = utf-8
# --author: valecalida--
In [1]: import pyshark

In [2]: cap = pyshark.FileCapture('icmp_len.pcap',display_filter="icmp && icmp.type==8")

In [3]: flag = ''

In [4]: for i in range(0,18):
   ...:     pkt = cap[i]
   ...:     flag += (chr(int(pkt.icmp.data_len)))
   ...:

In [5]: flag
Out[5]: 'ctfhub{acb659f023}'
In [6]: cap.close()

这样看起来不涉及到文件的创建以及读取处理,似乎更快一点,脚本稍后完善

# coding = utf-8
# --author: valecalida--
import pyshark
cap = pyshark.FileCapture('icmp_len.pcap', display_filter="icmp && icmp.type==8")
flag = ''
for i in range(0, 18):
    flag += (chr(int(cap[i].icmp.data_len)))
print(flag)
cap.close()

ICMP-LengthBinary

题目很直接的给了提示,就是二进制与length的关系,使用wireshark打开流量包查看,使用过滤器icmp&& icmp.type==8来进行过滤,查看每一条流量的length值,发现都是32或64,直接编写脚本

# coding = utf-8
# --author: valecalida--

import pyshark

cap = pyshark.FileCapture('icmp_len_binary.pcap', display_filter="icmp && icmp.type==8")
cap.load_packets()
flag = ''
con1 = ""
con2 = ""
for i in range(0, len(cap)):
    if cap[i].icmp.data_len == '32':
        con1 += '0'
        con2 += '1'
    elif cap[i].icmp.data_len == '64':
        con1 += '1'
        con2 += '0'
print(con1)
print(con2)
cap.close()

运行得到两串二进制字符串

011000110111010001100110011010000111010101100010011110110011000000110100011001010110011001100101011001000011000101100101001100000011010101111101

100111001000101110011001100101111000101010011101100001001100111111001011100110101001100110011010100110111100111010011010110011111100101010000010

直接在线解码,可以看到,直接得到了flag

 

或者直接用下面的脚本跑出flag

# coding = utf-8
# --author: valecalida--
import binascii
import pyshark

cap = pyshark.FileCapture('icmp_len_binary.pcap', display_filter="icmp && icmp.type==8")
cap.load_packets()
flag = ''
con1 = ""
con2 = ""
for i in range(0, len(cap)):
    if cap[i].icmp.data_len == '32':
        con1 += '0'
        con2 += '1'
    elif cap[i].icmp.data_len == '64':
        con1 += '1'
        con2 += '0'
print(binascii.a2b_hex(hex(int(con1, base=2))[2:]))
print(binascii.a2b_hex(hex(int(con2, base=2))[2:]))
cap.close()

 运行得到flag

b'ctfhub{04efed1e05}'
b'\x9c\x8b\x99\x97\x8a\x9d\x84\xcf\xcb\x9a\x99\x9a\x9b\xce\x9a\xcf\xca\x82'

如博客有侵权请联系我,这边立马做处理,如果文章内容有问题,也请私信给我,我会纠正,本人是菜狗,拒绝喷子

小豆傻饼干
关注
  • 10
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Ctfhub解题 web SQL注入(全部完整版)
weixin_46703850的博客
03-15 5109
Ctfhub解题 web SQL注入
CTF刷题-CTFHub-流量分析
weixin_42901207的博客
02-11 547
流量分析
CTFHUB-流量分析-协议流量分析-ICMP
m0_64180167的博客
03-08 1798
我们打开然后放入wireshark中搜索icmp然后搜索ctfhub发现没有然后就看{我们从最底下开始往上翻从这里我们就发现了规律了 已经出现了ctf了 所以我们就只要将这个位置上组合起来就是flag
CTF流量分析之wireshark使用
最新发布
2401_84466316的博客
05-28 1226
指定URI:http.request.uri==“/img/logo-edu.gif”筛选HTTP请求的URL为/img/logo-edu.gif的流量包。pcap流量包的分析通常都是通过图形化的网络嗅探器——wireshark进行的,这款嗅探器经过众多开发者的不断完善,现在已经成为使用最为广泛的安全工具之一。arp/icmp/http/ftp/dns/ip 筛选协议为arp/icmp/http/ftp/dns/ip的流量包。tcp.srcport == 80 筛选tcp协议的源端口为80 的流量包。
CTFhub技能树 Misc 流量分析 协议流量分析 ICMP data
FFFFFFMVPhat的博客
11-16 1227
打开pcap包 放入wireshark 搜索ctfhub CTFhub技能树 Misc 流量分析 协议流量分析 ICMP Length 选定ICMP过滤,根据题目提示 找到每一条ICMP流的长度 依次为 99 116 102 104 117 98 123 97 99 98 54 53 57 102 48 50 51 125 拼接而成得 9911610210411798123979998545357102485051125 转换为ASCII码值,即可得到flag ...
ctfhub-icmp-Data,Length,LengthBinary
weixin_55702959的博客
02-10 1813
目录 Data Length LengthBinary Data 找到 发现有括号猜测只是flag的一半,继续找 同时浏览记录下以上两张图之间括号位置相同的位置的值 \u0063\u0074\u0066\u0068\u0075\u0062\u007b\u0063\u0038\u0037\u0065\u0062\u0039\u0039\u0037\u0039\u0036\u0034\u0030\u0036\u0061\u0063\u0030\u0062\u007d 编程as.
CTF——流量分析题型整理总结
小锤队长的博客
12-19 4万+
我见过的流量分析类型的题目总结: 一,ping 报文信息 (icmp协议) 二,上传/下载文件(蓝牙obex,http,难:文件的分段上传/下载) 三,sql注入攻击 四,访问特定的加密解密网站(md5,base64) 五,后台扫描+弱密码爆破+菜刀 六,usb流量分析 七,WiFi无线密码破解 八,根据一组流量包了解黑客的具体行为 例题: 一,ping 报文信息 (icm...
威胁狩猎-ICMP流量分析
m0_61101264的博客
10-18 363
ICMP隧道通常用于绕过防火墙或者其他网络限制,将数据封装在ICMP消息的Data字段中,可以将数据包看作是ICMP消息,因此可以在允许ICMP协议通信的网络中传输信息。ICMP后门通常是一种隐蔽的攻击技术,因为ICMP流量通常被认为是合法的网络流量,很少受到严格的防火墙或入侵检测系统的监视和过滤。不同的Type和Code值表示不同的ICMP报文类型,对应了数据包处理过程中可能出现的不同错误情况,不同类型的ICMP报文又分为差错报文和查询报文两种,如下表所示。其内容取决于ICMP消息的类型和代码。
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF竞赛中,可利用该工具自动识别编码类型并解码,快速解决misc类别的密码题目。 其他说明: 该工具具备智能判断密码编码类型的功能,大大减少手工判断和重复尝试的时间,使密码解码更为便捷高效。
CTF-MISC关于各类编码习题(湖工商扛把子)
03-17
在“CTF-MISC关于各类编码习题(湖工商扛把子)”这个主题中,你可以通过实践和解决1-1等文件中的题目,进一步提升自己在编码解码方面的技能。了解和熟练掌握这些编码方式对于CTF比赛中的Misc任务至关重要,能够帮助...
CTF-MISC-日志分析.pdf
02-11
CTF-MISC-日志分析
2-CTF解题技能之MISC基础 二
10-05
2-CTF解题技能之MISC基础 二
ctf-misc-登机牌.zip
06-01
在这个特定的案例中,我们面对的是一个名为"ctf-misc-登机牌.zip"的压缩包,它包含了与登机牌相关的谜题。这个挑战的核心在于通过分析PNG图片和解读PDF417二维条形码来解锁隐藏的RAR文件。 首先,让我们详细了解...
ctfhub-伪协议读取文件
m0_62094846的博客
11-06 1485
要我们读取flag.php 这道题,先要知道几个伪协议 file:// php://input(执行php代码) php://filter(读取源码) zip://(压缩文件) data://(执行php代码) 使用这个读不出来,php://filter/read=convert.base64-encode/resource=flag.php 查了一下,这个是文件包含中的,不能用于ssrf 一般网站的目录都放在www/html/目录下,使用file:///var/www/html...
使用wireshark抓取ICMP流量包并分析ICMP协议
HHH's Blogs
12-12 4987
前言:如有疑问(包括但不限于本篇,涉及网络 系统皆可),欢迎评论探讨,看见能解答必回。彼此交流,共同成长。) 原理:ping是应用层直接使用网络层 ICMP 的例子,它没有通过运输层的 TCP 或UDP。故使用ping命令来测试。 一:首先任意打开一个网站,我们打开www.baidu.com这个网站。在dos窗口(win+R,cmd进入即dos窗口),pingwww.baidu.com这...
ctfhub技能书+历年真题学习笔记(详解)
热门推荐
qq_50589021的博客
03-30 7万+
Web Web前置技能 HTTP协议 请求方式 题目: HTTP Method is GET Use CTF**B Method, I will give you flag. Hint: If you got 「HTTP Method Not Allowed」 Error, you should request index.php. 意思就是你是get请求,你把这个请求换成CTFHUB就行 所以抓包直接一把梭 302跳转 题目: No Flag here! Give me Flag 点击发现没有跳转
[ICMP流量分析]CTFHUB------Length
Y4tacker的博客
08-28 8555
首先通过关键字过滤ICMP 之后,从题目Length猜出可能与长度有关,我们知道这个平台默认flag开头是ctfhub{},发现c与f相差3个ascii码值,查看数据包也是一样的 接下来把每条长度读取即可,根据记录可以得到flag #!/usr/bin/python # coding=utf8 # @Author:Y4tacker num = ord('c') num = 141 - num num_list = [不可能给你自己研究哈,不吃白食] new_list = [] for i in num
CTFHub | 目录遍历
尼泊罗河伯的博客
10-02 2650
根据网页显示内容提示点击开始寻找 flag 按钮,发现显示出网页目录内容,猜测此题可能和题目描述所说的目录遍历有关,敏感信息泄露。
CTFHUB技能树详解(最全、最细、最易懂)
it_wzb的博客
09-29 5532
最近闲的无聊,玩玩CTF吧,并把自己的解题思路分享给大家。大佬多指教。
ctf工具之binwalk--windows下(misc).rar
07-30
binwalk是一款用于分析和提取嵌入在二进制文件中的文件和数据的工具。对于CTF比赛来说,binwalk可以帮助我们进行文件的分析和提取,从而更好地理解题目并解决问题。 在Windows下使用binwalk,我们首先需要在官方网站(https://github.com/ReFirmLabs/binwalk)下载并安装binwalk的Windows版本。安装完成后,我们可以在命令行中使用binwalk命令进行操作。 拿到CTF题目中的misc.rar文件后,我们可以使用binwalk来分析该文件。在命令行中,我们输入以下命令: binwalk misc.rar binwalk会对该文件进行分析,并将分析结果显示在命令行中。它会检测并提取出文件中的隐藏信息,并尝试识别文件中可能存在的其他类型文件(如图像、压缩包等)。 除了显示分析结果外,binwalk还支持提取文件中的隐藏文件。我们可以使用以下命令来提取隐藏文件: binwalk -e misc.rar 这会将隐藏在misc.rar中的文件提取到当前目录中。我们可以通过查看提取出的文件来获得进一步的线索或解答。 总之,binwalk是一款强大的CTF工具,它可以帮助我们分析和提取嵌入在二进制文件中的文件和数据。在Windows下使用binwalk可以通过命令行进行操作,从而更好地解决CTF比赛中的问题。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值