shark初步使用

已于 2024-03-14 23:56:10 修改
阅读量911 收藏 13
点赞数 6
文章标签: 笔记
于 2024-03-14 15:35:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w2vmany/article/details/136635498
版权

flag明文以及编码

1.明文,直接搜索即可。

在这里插入图片描述

2.编码

去上网搜了flag的编码字符串,以便使用

Hex:666c6167/666C6167(flag)、666c61677b(flag{)
Base64:Zmxh(flag)
Unicode:&#102 ;&#108 ;&#97 ;&#103(flag)

在这里插入图片描述
下面几题就是区分大小写问题,换unicode编码搜索问题
(还有一题for1是和usb有关,我放到后面再写)

压缩包

对有文件的流量包,我们可以先过滤http,找一下有没有什么特别的数据

1.caidao在这里插入图片描述

caidao需要删除分组字节流前开头和结尾的X@Y字符,否则下载的文件会出错
在这里插入图片描述

2.test

按照上题去试试http,看看有木有可疑的数据
在这里插入图片描述
emmm,没有,再去追踪TCP数据流。
再对比流0流1流2流3之后,发现还是流3更可疑一点,我们把这个当突破口
在这里插入图片描述
我们同样还是显示分组字符,由于上题我直接就把开头和结尾的两个一样字符删去压缩,运气好,一次就发现成功了在这里插入图片描述

3菜刀流量

本来想找一下菜刀流量的做题思路,结果就找到关于菜刀的基础特征

这里是引用

老规矩,我们先试试能不能找flag,嘿,这里出现了
在这里插入图片描述
我们跟踪tcp后可以发现有一个flag.docx.z.T的可疑目标
进一步可以发现flag.docx
在这里插入图片描述
提取保存后我们可以拉到note里查看,再转成ascii保存即可
在这里插入图片描述
之后我们在转16进制来改他的伪加密
在这里插入图片描述

4MISC4

先搜一下flag
发现并没有在这里插入图片描述
还是先看看tcp里面有什么东西
发现都是图片,jfif,png,gif什么的
经过查看不同的流,我正好在流19下发现了flag
在这里插入图片描述

5telnet

telnet是明文的传输数据,所以我们查看tcp流
在这里插入图片描述
flag这么明显,肯定有问题啊,我就在想28dxws和982之间的点和题目附件的ASCII表有什么关系。
在这里插入图片描述
记录分隔符不可能,那只有退格有可能了
退三个格子后,得出的flag就是28d982kwalx8e,看了wp后发现自己思路是正确的,确实是退格作用

6流量中的线索

我们先正常输入过滤http,追踪tcp,发现这个流有很多字符串,我们再显示,转换各种编码试试在这里插入图片描述
这里运气好,转base64就出了一个jpg格式的图片,我想把这个图片保存下来查看,但发现行不通,那就试试能不能直接去base64网站上转化为图片,发现成功了
在这里插入图片描述

7菜刀666

我们先查看请求发现有一个php
在这里插入图片描述
我们先去找一下php看看,有什么东西,发现了还有flag和php,zip
在这里插入图片描述
又观察了一下,发现这个流是没有作用,继续翻看流
在这里插入图片描述
又发现了这里说,要密码,那就可以知道,之前那个hello.zip是加密的,继续翻发现这里又有一个jpg

在这里插入图片描述

我们保存他,在放到010里编辑,再去掉z2=即可

在这里插入图片描述

8工业协议分析

先大致浏览一下,发现有一个特别长的数据爆在这里插入图片描述
在这里插入图片描述
发现是一个图片,还提示了base64,我们删去一下头字符,解码一下得到一张图片
在这里插入图片描述
再把它转图片
在这里插入图片描述

管理员密码

搜索flag,就可以找到管理员密码即flag在这里插入图片描述

9getshell

先找getshell的流(ARP的请求与获取shell应该无关)。我们要找tcp三次握手的数据包
在这里插入图片描述
再把那字符串解码,可得flag
在这里插入图片描述

10sqltest

sql的流量分析先按照惯例,过滤http流量然后导出分组解析结果为CSV,再用note打开
在这里插入图片描述
在这里插入图片描述

发现有很多url ,那就url解码试试在这里插入图片描述

我们在将ASCII码值转换即可102(和之前比赛做的题差不多,用ascii’转换)
102 108 97 103 123 52 55 101 100 98 56 51 48 48 101 100 53…125

11蓝牙协议

先看有没有obex
在这里插入图片描述
发现里面有一个压缩包,那就先提取出来,改文件为压缩包,发现要密码,发现
(因为蓝牙里面有个固定的密码名称叫做PIN所以还是先搜一下PIN这串字符,看是不是有东西)在这里插入图片描述
发现有一个PINcode,打开压缩包就出flag在这里插入图片描述

12哥斯拉gs

先追踪tcp流
在这里插入图片描述
用风佬的工具可以把pass处快速解码
在这里插入图片描述
我们通过解码,可以得到
在这里插入图片描述因为flag经过base64编码后是Zmx什么什么,就想着用base64解密一下
在这里插入图片描述

13冰蝎2.0

在这里插入图片描述
密钥:eaf815fcc1dd7afb
密文:8zzbb6WmH48ODID03wWNKJxpuNnHBuEsLF2vYVUDyoun6oJxdnTKUlPGVl4LrgL4uuvv88ENWEOwRFpvfgglnhIZL5ccVD1PfKSBJDjNWuBQL0el16fDe1Yyk02Wa1/0
放入脚本爆破,在转base64
在这里插入图片描述

哥斯拉jsp

14h1

看http流在这里插入图片描述
key就是xc处的748007e861908c03
密文:
b5c1fadbb7e28da08572486d8e6933a84c5144463f178b352c5bda71cff4e8ffe919f0f115a528ebfc4a79b03aea0e31cb22d460ada998c7657d4d0f1be71ffa在这里插入图片描述
放入脚本爆破即可
flag{9236b29d-5488-41e6-a04b-53b0d8276542}

15hard

先找密钥:“748007e861908c03”
在这里插入图片描述
再找密文b5c1fadbb7e28da08572486d8e6933a84c5144463f178b352c5bda71cff4e8ffe919f0f115a528ebfc4a79b03aea0e31cb22d460ada998c7657d4d0f1be71ffa在这里插入图片描述
爆破可得flag{9236b29d-5488-41e6-a04b-53b0d8276542}

冰蝎web流量

16webshell

先打开看看,看不出来可以利用什么东西
在这里插入图片描述
有两个脚本,先运行一下,找到key 和flag了
在这里插入图片描述
在这里插入图片描述
还有两题不知道为什么爆不出来

17ssl流量

ssl一种安全协议流量,有公开密钥,在流量包中TLS流量就是加密的流量,一般都会有个私钥解密数据包后再显示额外内容,我们先解密
在这里插入图片描述
在这里插入图片描述
找了好久找不到
看了wp说过滤跟进,找到flag??

石灰11
关注
  • 6
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
第21章 Wireshark初步使用
Venus_majian
07-01 333
概述混杂模式就是接收所有经过网卡的数据包,包括不是发给本机的包,即不验证MAC地址。普通模式下网卡只接收发给本机的包(包括广播包)传递给上层程序,其它的包一律丢弃。一般来说,混杂模式不会影响网卡的正常工作,多在网络监听工具上使用。开启混杂模式入口:捕获 – 选项。
Spark基础学习笔记01:初步了解Spark
howard2005的专栏
02-19 1515
一、大数据开发总体架构 二、Spark概述 三、Spark发展史 四、Spark特点 五、Spark主要组件 六、Spark应用场景
Buuctf 流量线索
Dexret的博客
11-18 3250
下载该文件,发现该文件为一个wireshark流量包文件 用wireshark打开该文件 发现好多tcp和http的数据包,过滤该数据包 选择一条http的数据包,右键选择数据流追踪 发现有一段很长的代码,这段代码很像base64加密 在网上找一个base64解码工具 BASE64转图片 - 站长工具 - 极速数据 (jisuapi.com)https://tool.jisuapi.com/base642pic.html解码该段代码后发现是一张图片,且该题flag就在图片上 ...
buuctf misc 刷题记录
zx66661的博客
04-22 2246
目录 流量线索 荷兰宽带数据泄露 后门查杀 webshell后门 被劫持的神秘礼物 流量线索 下载后解压是一个数据包 过滤http追踪http 导出文件 下载下来打开fenxi.php发现最后有= 猜测是base64 在浏览器栏输 data:image/png;base64, 编码内容可以直接看到图片 荷兰宽带数据泄露 使用 RouterPassView 1.88 文免费版 下载地址:https://www.onlinedown....
BUUCTF题目Misc部分wp(持续更新)
苦行僧的妖孽日常
11-05 8525
BUUCTF题目Misc部分wp(持续更新)
buuctf_misc_流量线索
m0_73118788的博客
02-26 358
题目:(打开是个wireshark文件)(这要追踪从上往下最后一个HTTP昂)
Wireshark应用
00's Blog
01-03 2814
1. 过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 2. 过滤端口 例子: tcp.port eq 80 // 不管端口是来源的还是目标的都显示 tcp.port == 80
SharkSharkReader安装和使用之路
sdafasdfsadfsadf的博客
01-13 551
上周五在手机android4.0.3上安装了Shark_lv.n3o.shark_102.apk和SharkReader_lv.n3o.sharkreader_15.apk对数据包进行抓取和读取,当然就两个apk感觉安装和快就能搞定,装好之后麻烦来了,不能运行,总提示没有权限运行,需要root权限才能使用。   一、而接下来,开始了对android4.0.3获取root权限:   刚开始同...
loan-shark-mvp:鲨鱼游戏MVP
04-05
【贷款鲨鱼MVP】是基于游戏开发的一个项目,其核心是Minimum Viable Product(最小化可行产品)的概念,这是产品开发策略的一个重要阶段,旨在快速验证产品概念并收集用户反馈,以指导后续的开发迭代。在这个特定...
初步了解Spark
m0_67806453的博客
06-15 563
目录一,大数据开发总体架构二,Spark简介三,Spark发展史四,Spark特点(一)快速(二)易用(三)通用(四)随处运行(五)代码简洁1,采用MR实现词频统计2,采用Spark实现词频统计五,Spark主要组件(一)Spark Core(二)Spark SQL(三)Spark Streaming(四)MLlib(五)GraphX六,Spark应用场景(一)腾讯 (二)Yahoo(三)淘宝(四)优酷土豆“Spark是加州大学伯克利分校AMP实验室(Algorithms, Machines
2024年最新超详细的wireshark抓包使用教程_抓包工具wireshark
2301_82257383的博客
05-01 2979
从下图可以看到wireshark捕获到的TCP包的每个字段。4. Dissector Pane(数据包字节区)。
Wireshark(流量分析题)WP
Fear1e4的博客
03-11 809
一个pcap包,一个hink。要我们找私钥,打开之后先用过滤找tcp包里带有“key”的。发现带有base64编码,追踪流拿出来用工具解码一下。没解出来,发现带着个png。下载下来发现里面看着像私钥。用ocr识别完,再纠正一下,用hink里的套一下。然后搜一下http传输内容,追踪一下流,发现flag。
2021-04-30 CTF Misc buu oj day6 5道题
LiNa_lInA_741的博客
05-02 649
这里写目录标题神秘龙卷风类型压缩包文件解题 神秘龙卷风 类型 rar压缩包分析、编码分析 压缩包文件 神秘龙卷风.rar 解题 rar压缩包加密4位密码用ARCHPR直接爆破:5463 里面txt文件打开是+.>组成,数了一下到第一个.>的+数量,是102,对着ASCII编码表看了一眼对应字母“f”,于是猜测后面应该都这样就能编码出flag{}(后证实这纯属瞎猜)。 看其他解法发现是Brainfuck编码,+表示指针指向字节加一,.表示输出指针指向内容,>表示指针加一。Brainfu
wireshark、被嗅探的流量、数据包线索
weixin_50644728的博客
10-28 1494
Wireshark工具使用教程 安装链接: 工具介绍: Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark使用pcap network library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码! 使用wireshark就得先了解网络协议,否则就看不懂wireshark了。为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。 wiresha
BUUCTF 刷新过的图片 writeup
zhangzhaolin12的博客
10-15 1431
下载后是一张图片,但是这张图片实在有点。。。 这里题目是刷新过的图片,刷新是F5键呀,这就是一个提示,图片是F5加密,这里如果不知道这种加密就比较难办。 kali:在F5-steganography路径下,执行下面指令。解密后就多了一个output.txt文件。看一下,发现是乱码。用010看一下,发现是压缩包(文件头是50400102)。改一下后缀,解压,这里我忘记解压时有没有输入密码的弹窗,如果有的话应该是伪加密(找到504b后面的14 00后面的两组十六进制数,这就是加密的标记位)。解压后就是flag。
如何通过“流量线索”进行恶意程序感染分析
djph26741的博客
08-20 332
流量安全分析(五):如何通过“流量线索”进行恶意程序感染分析 from:https://www.sec-un.org/traffic-safety-analysis-v-how-to-traffic-trail-for-malware-infections/ 原始PCAP 数...
BuuCTF 数据包线索
qq_52907838的博客
08-06 712
下载附件,得到一个pcappng的文件: 看到这个后缀加上题目流量,就想到用wireshark打开,如果还不知道wireshark如何安装和使用可以看一下这篇文章:wireshark抓包新手使用教程 - 锅边糊 - 博客园 (cnblogs.com) 打开后看到TCP的包,直接过滤http的包,查看HTTP包,看到第二个HTTP包有类似于base64加密的东西: 拿去解密:https://the-x.cn/base64 发现是图片,另存为图片: 得到答案。 ...
六月安恒月赛——记录
weixin_34417635的博客
06-24 323
有段时间没有练习了,趁着周末做一下安恒月赛,这次的月赛题目大部分比较简单。 PWN和CRYPTO比较生疏就没做。 0x01 WEB——ezupload 题目是最常规的上传绕过,这里可以直接修改Content-Type和添加图片文件头来绕过检测。 另外,上传的文件后缀会被修改,如上传:eval.php,最后会成...
【C++学习笔记】数组与指针(三)
最新发布
qq_38196449的博客
09-09 1152
0(空字符)
white shark system 使用手册
11-04
使用White Shark System前,用户首先需要安装系统软件并进行一些基本设置。安装过程通常是简单的,用户只需按照系统提供的安装向导进行操作即可。在安装完成后,用户可以开始使用系统。 系统的主要功能包括任务管理...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值