CTF——流量分析题型整理总结

最新推荐文章于 2024-06-27 22:21:50 发布
最新推荐文章于 2024-06-27 22:21:50 发布
阅读量4.9w 收藏 794
点赞数 112
分类专栏: CTF 类型题总结 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vhkjhwbs/article/details/103605892
版权

我见过的流量分析类型的题目总结:

一,ping 报文信息  (icmp协议)

二,上传/下载文件(蓝牙obex,http,难:文件的分段上传/下载)

三,sql注入攻击

四,访问特定的加密解密网站(md5,base64)

五,后台扫描+弱密码爆破+菜刀

六,usb流量分析

七,WiFi无线密码破解

八,根据一组流量包了解黑客的具体行为

例题:

一,ping 报文信息  (icmp协议)

例1.1

打开流量包,发现有一大段的icmp协议的包,发现在icmp报文中夹杂着flag

这里可以依次查看每一个icmp报文数据,然后得到flag

也可以用脚本处理:(不推荐)

先过滤出 icmp协议的包》导出特定分组 》保存为flag.pcapng》然后用脚本处理:

(这个脚本只能处理data只有一个字节的包,局限性较大,还不如直接一个包一个包查看,反正flag也不会太长)

import  pyshark
cap = pyshark.FileCapture('flag.pcapng')
for packet in cap:
    data = ''+packet[packet.highest_layer].data
    print(chr(int(data,16)),end='')
cap.close()

 

二,上传/下载文件(蓝牙obex,http,难:文件的分段上传/下载)

这类夹杂着文件的流量包最好处理,

方法一,直接用foremost直接分离提取一下就能提取出其中隐藏的文件,一般会直接分离出来一个 压缩包,一张图片,或者flag.txt都是有可能的

方法二,

自动提取通过http传输的文件内容
文件->导出对象->HTTP


在打开的对象列表中找到有价值的文件,如压缩文件、文本文件、音频文件、图片等,点击Save进行保存,或者Save All保存所有对象再进入文件夹进行分析。

手动提取通过http传输的文件内容
选中http文件传输流量包,在分组详情中找到data,Line-based textJPEG File Interchange Formatdata:text/html层,鼠标右键点击 – 选中 导出分组字节流。

如果是菜刀下载文件的流量,需要删除分组字节流前开头和结尾的X@Y字符,否则下载的文件会出错。鼠标右键点击 – 选中 显示分组字节

在弹出的窗口中设置开始和结束的字节(原字节数开头加3,结尾减3)

最后点击Save as按钮导出。

例2.1手机热点(蓝牙传输协议obex,数据提取)

题目来源:第七季极客大挑战
考点:蓝牙传输协议obex,数据提取
题目信息:(Blatand_1.pcapng)

题中说用 没流浪 向电脑传了文件 那肯定是 用的蓝牙 蓝牙协议 为   obex协议

帅选出 obex 协议包 :发现 有一个包 里有一个 rar压缩包:

要分离出 这个 rar 包:

方法一:直接复制 数据块 然后复制到winhex中 转存为 rar 

复制数据块  as Hex stream   >   在winhex中粘贴 为 ASCII HEX  >   删除前面的 多余信息    > 保存为 rar

方法二 :用formost 分离:分离出来好多东西,不过我们目标是rar包

得到一张flag.git:

例2.2 抓到一只苍蝇

这题属于比较难的类型,是文件的分段传输,我们需要将几段数据拼接起来

首先在 分组字节流中 搜索一下 字符串 flag 找到第一个 包,追踪一下数据流 ,

然后就看到了上述信息,知道了应该是在用 qq邮箱传输文件,

文件的信息: fly.rar  文件的大小为 525701

{"path":"fly.rar","appid":"","size":525701,"md5":"e023afa4f6579db5becda8fe7861c2d3","sha":"ecccba7aea1d482684374b22e2e7abad2ba86749","sha3":""}

既然知道了在上传文件,肯定要用到 http的request的 POST方法

在过滤器中 输入

http && http.request.method==POST

然后找到这5个包,第一个包是 文件的信息,后面5个包为数据

分别查看其中 date 的长度:

前四个 为 131436 最后一个为 17777

所以 131436*4 +17777=527571  与第一个包给出的 fly.rar的长度 525701 差 1820

因为每个包都包含头信息,1820/5 = 364

所以每个包的头信息为 364

接下来导出数据包:

wireshark->文件->导出对象->http->选择save对象

将对应的包 分别save 为 1 2 3 4 5

将这五个包拖进 kali中 

执行:

dd if=1 bs=1 skip=364 of=11

dd if=2 bs=1 skip=364 of=22

dd if=3 bs=1 skip=364 of=33

dd if=4 bs=1 skip=364 of=44

dd if=5 bs=1 skip=364 of=55

将数据包的头部的 364个字节去除  得到 11 22 33 44 55

将这五个包合并

cat 11 22 33  44 55 > fly.rar

查看一下 flag.rar的md5值是否正确

md5sum fly.rar

正确

解压,跳出提示文件头损坏,并且要求输入密码

知道是伪密码,用winhex打开,修改文件头,将 84 改为 80,保存

解压得到,flag.txt 打开一堆乱码,直接用 foremost分离一下&#x

最低0.47元/天 解锁文章
Captain Hammer
关注
  • 112
    点赞
  • 794
    收藏
    觉得还不错? 一键收藏
  • 12
    评论
专栏目录
流量分析ctf
m0_53067332的博客
01-10 8190
题目介绍 该题为流量分析,当黑客入侵我们的网络是,我们可以需要通过一系列分析操作来进行抓捕与追踪,本题目难度中等偏下,不是很有难度,但题目类型较为全面,适合入手当做练习。 一、题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某
CTF流量分析1
qq_45766280的博客
08-26 890
流量分析1题解:总结 仅作为学习笔记使用 题目:Q3.pcap 题解: 先在wireshark里看一下 有HTTP先看HTTP,直接在过滤器中选择HTTP 这些包就有意思了,这些请求有些想目录扫描在不断的请求,而大部分的回应都是404,那么我们暂时推断会有访问成功的,往后面找找吧。 这两个语句成功通过了,那我们来详细分析分析这两个包。追踪流->HTTP GET /?c=print_r(gzcompress(file_get_contents(base64_decode(%22aW5kZXguc
两道CTF流量分析题,寻找flag!
03-10
题目1:在流量中寻找管理员的密码!提交格式为flag{密码} 题目2: 问题1:安全审计设备上捕获了一条OPC流量,疑似遭遇黑客攻击,请分析出黑客攻击的流量编号。(仅需找到流量编号即可) 问题2:找出藏匿在流量包中的flag(格式为flag{})
一道冰蝎文件流量分析的例题
09-01
一道冰蝎文件流量分析的例题
CTF——MISC(流量分析
最新发布
m0_67189356的博客
06-27 281
Wireshark(前称Ethereal)是一个网络封包分析软件网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。用于决定将什么样的信息记录在捕捉结果中。依据协议过滤时,可直接通过协议来进行过滤,也能依据协议的属性值进行过滤。在捕捉结果中进行详细查找。它允许您在日志文件中迅速准确地找到所需要的记录。他们可以在得到捕捉结果后随意修改。
ctf流量分析练习二
gclome的博客
09-06 3350
上次的流量分析做的我一个脑袋两个大!但是不能放弃啊,再找一些题来练练手 0x01 经典题型 CTF题型主要分为流量包修复、WEB流量包分析、USB流量包分析和其他流量包分析。 01 流量包修复 比赛过程中有可能会出现通过wireshark打开题目给的流量包后提示包异常的情况,如下图所示: 解题思路: 通过在线pacp包修复工具进行修复: http://f00l.de/hacking/pcapfix.php 修复之后,再次打开 用tcp contains “flag”,找到了下面这句话: 于是乎,flag就在
流量分析题.docx
12-02
流量分析
CTF流量分析
热门推荐
shy的博客
06-05 2万+
CTF杂项中存在一种题型——流量分析,主要是给你一个流量包,让你分析获取其中的flag的值。 有5种方式,可以直接查找flag。 1、直接搜索 2、使用notepad++等软件,直接打开流量包,搜索关键字 3、编写python脚本 #encoding:utf-8 #用二进制方式读取文件 file=open("networking.pcap","rb") #读取文件内容 i=file.read() #查找字段 a1=i.find("flag{") a2=i.find("}",a1) #将查
CTF 流量包相关-流量分析(1)
qq_56815564的博客
04-28 1万+
前面的flag不论是直接给你明文,还是有一定的编码,都是比较简单的,像这些十成甚至九成都会是签到题,所以了解一下知道有这种情况就好,重点不再这边另外这里还是给出一下风佬的脚本吧,虽然我感觉用到的几率应该不会很大,如果要用的话,那个破空查flag的工具应该会比较好用,下载的话,风佬的git里面应该有,这里就不给了。
CTF Misc(3)流量分析基础以及原理
Ba1_Ma0的博客
10-11 3962
流量分析基础以及原理
流量分析】USB键盘与鼠标流量分析
自知.的博客
05-06 7542
USB流量指的是USB设备接口的流量,攻击者能够通过监听usb接口流量获取键盘敲击键、鼠标移动与点击、存储设备的铭文传输通信、USB无线网卡网络传输内容等等。 在CTF中,USB流量分析主要以键盘和鼠标流量为主。 下面通过简单的讲解与例题的展示,分析键盘流量与鼠标流量。
CTF流量分析
m0_56153480的博客
02-09 1895
流量分析 一、题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可) 3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后
CTF-流量分析有点难搞
06-14
集团某互联网应用被黑客攻击,重要文件被窃取,管理员抓取了攻击流量包,请协助管理员分析流量包并回答下列问题: 被攻击的应用程序使用的密钥是_______(填写应用程序秘钥)
CTF——攻防世界第一篇
01-08
昨天下午看了关于ctf的视频,发现自己什么也不懂,明明每个字都是我认识的中文,但是组合到一起就不明白了。「我好难……」 而且,看视频我似乎没什么的耐性,一下午下来还是发现自己没学到什么。所以,今天,我决定...
启明HW-流量分析考题
04-24
本资源是启明星辰对于护网的考核题目,主要是流量分析方面的实战题目。
CTF流量分析
m0_37442062的博客
05-03 3959
1.flag被盗了,pcap(gnnl) 尝试http过滤,get或者post追踪tcp流即可,这里是post, flag{This_is_a_f10g} 2.这么多数据包找找吧,先找到getshell的流pcap(vn78) 过滤tcp TCP流通常是命令行操作 Q0NURntkb195b3VfbGlrZV9zbmlmZmVyfQ== 解码:CCTF{do_you_like_sniffer} 3.有一天皓宝宝没了流量只好手机来共享,顺便又从手机发了点小秘密到电脑,你能找到它吗?
两道CTF流量分析题分享
seek_2022的博客
03-10 2150
本文分享了两道CTF流量分析题,分析的过程充满着许多乐趣,希望本文分享的两道题的分析对大家学习相关技能有帮助。
CTF——杂项3.流量取证技术
woo233的博客
09-09 2939
先用wireshark筛选http的流量,假如没有则筛选tcp的流量,因为getshell是在命令行中执行的,可以用tcp contains “command”在关注的http.数据包或tcp数据包中选择流汇聚,可以将HTTP流或TCP流汇 聚或还原成数据,在弹出的框中可以看到数据内容。在关注的http.数据包或cp数据包中选择流汇聚,可以将HTTP 流或TCP流汇聚或还原成数据,在弹出的框中可以看到数据内容。比如查看数据包的时候,有的数据包有某种特征,比如有http(80)。Data数据单独复制出来。
ctf流量分析常见题型
10-16
ctf流量分析常见题型包括以下几种: 1. 抓包分析:给定一个pcap文件,需要分析其中的流量,找出关键信息,如用户名、密码、flag等。 2. 网络协议分析:给定一个网络协议的报文,需要分析其中的字段含义,如TCP、UDP、HTTP、DNS等。 3. 网络流量还原:给定一段网络流量,需要还原出原始数据,如图片、音频、视频等。 4. 网络攻击分析:给定一段网络流量,需要分析其中是否存在攻击行为,如DDoS、SQL注入、XSS等。
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值