bugku数据包流量分析题目总结

最新推荐文章于 2024-05-11 02:14:15 发布
最新推荐文章于 2024-05-11 02:14:15 发布
阅读量1.7k 收藏 11
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43669045/article/details/104796435
版权

因为内容有点多,文章还没写完,请谅解,后期会将内容更新补全

文章目录

1.flag被盗

​ 提示:flag被盗,赶紧溯源!

​ 下载数据包进行分析

​ 1.先大致看一遍数据包(IP地址,协议,数据包长度),然后大概能认出两类访问,一个是虚拟机间的访问,一个是网页的访问(这个是重点),我们对TCP协议的数据包进行主要分析。

​ 2.按照序号往下查看,我们观察24~26的数据包,发现这里进行了TCP的三次握手包,然后建立起通信,并访问了shell.php
在这里插入图片描述

3.,于是我们进行TCP追踪流查看具体内容,但发现只是一些普通的get请求,没什么信息
在这里插入图片描述

4.接着对后面的数据进行查看,发现在序号86的地方又进行了通信,而且这次是POST请求,TCP追踪数据流查看

在这里插入图片描述
5.TCP追踪数据流查看内容,发现了隐藏的flag,提交成功

在这里插入图片描述

6,为了完善的学习,再对这里进行补充,进行追踪数据流,查看内容是三个POST请求(pass=一堆编码),以及三次Post请求返回内容(路径和flag) 在这里插入图片描述 看到编码很明显是Base64编码,于是进行解码发现是一堆命令,猜测应该是一个攻击者对目标进行post 请求,获得文件路径,并通过查询flag.txt,获得了flag(因此题目取名为flag被盗)

​ 以下是base64解码后的内容,这里要注意第一个post请求的内容因为中间添加了URL编码,所以无法直 接解码,手动分别解码(%3D-> = ,%2F-> / )

​ 第二个post包里有个cat flag.txt ,于是输出了flag信息
在这里插入图片描述

2.中国菜刀

分析数据包,全是TCP协议,大致可以看出一共进行了3次POST,依次对着三个进行TCP追踪流

第一个请求包,返回了目录文件信息,并且在其中有flag.tar.gz的文件,这个应该就是目标文件了

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

第二个Post请求 返回的内容是一句话木马, 对其进行base64解码发现是php代码 返回3.php文件内容

在这里插入图片描述

在这里插入图片描述

第3个请求,对Post请求进行解码,发现是个php代码,返回的是flag.tar.gz文件内容

在这里插入图片描述

在这里插入图片描述

2.大概总结一下就是,Post一串代码来获取目标信息,而第一个post请求我们能看出我们的flag在flag.tar.gz

​ 因此我们推出 最后一个数据包的内容存在flag.tar.gz文件

​ 这里有两种获取方法

​ (1)wireshake里获取

​ 选择数据 直接右键显示分组字节

在这里插入图片描述

​ 选择数据解码为压缩包,一共209条,一条条翻看,在第三条显示出flag

在这里插入图片描述

​ (2)用binwalk对数据包分析并用dd命令进行分离出压缩包文件

在这里插入图片描述

​ binwalk分析里面存着一个gizp压缩包,利用dd命令

​ skip为跳过的包,bs设置包大小为1 又binwalk分析可以得到gizp在7747以后

3.这么多数据包

提示:这么多数据包找找吧,先找到getshell的流

考察点:wireshake的选择器正确使用,getshell的一些内容信息,对普通协议的认识

大概的总结:IP地址为192.168.116.138在对IP地址192.169.116.159的各个端口进行请求访问,但大部分的请求都是失败的,其实可以基本判断它在进行端口扫描,查看是否有端口可以直接访问,但从No.4000左右开始,端口扫描结束,那么getshell应该是在4000到最后的数据包之间了。
在这里插入图片描述

提示说是找到getshell流那基本应该会在数据包的最后,getshell成功了,然后我们就可以从后往前进行查看,发现有几个主要的通信端口通信,首先4444与1040之间的通信,追踪TCP流,一堆编码,没什么结果

在这里插入图片描述

对4444与1040之间的通信没发现什么结果,我们就先把这两个端口过滤了先。

! tcp.port eq 4444 or ! tcp.port eq 1040 and ip.addr eq 192.168.116.138

然后继续查看No.4000后的数据包发现1234端口和35880端口还存在通信 右键追踪流:
在这里插入图片描述

​ 发现了一些特殊信息,里面也有大量的命令执行语句,对应提示的getshell,而且下面可以发现一串 base64编码的字符,解码获取flag。

Ps:

题目要求找到 getshell 流, , 一般 getshell 流的 TCP 的报文中很可能包含 command 这个字段, 我们可以通过选择器进行筛选查看 < tcp contains “commad” >来查找 getshell 流,也能发现到这个TCP流。

4.手机热点

提示:httppan.baidu.coms1cwwdVC 有一天皓宝宝没了流量只好手机来共享,顺便又从手机发了点小秘密到电脑,你能找到它吗?

考点:Obex蓝牙协议

打开数据包,一大堆陌生的协议,题目描述说是共享手机热点,向电脑发送了一些东西,这里应该是通过 蓝牙协议 (obex)发送得文件,过滤出 obex协议的包,发现有两个文件 一个rar压缩包,一个jpg图片,查看字节流,根据文件头信息,利用十六进制编辑工具还原出压缩包和jpg文件,发现压缩包解压发现一张图片,是flag(当然也可以直接将数据包用binwalk或者foremos直接分离出压缩包)
在这里插入图片描述
在这里插入图片描述

Alexhirchi
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bugku——分析(流量分析)题解
小锤队长的博客
10-19 4236
目录 1,flag被盗 2,中国菜刀 3,这么多数据包 4,手机热点 5,抓到一只苍蝇 6,日志审计 7,weblogic 8,信息提取(超详细) 9,特殊后门 1,flag被盗 ctrl + f 打开搜索框,搜flag ,找到 93 个数据包里有 flag.txt字样, 右键,追踪 TCP数据流,在其中看到了 flag: flag{This_is_a_f10g}...
bugku流量分析题汇总
gclome的博客
09-04 1585
为了更好的巩固最近学习的流量分析,决定找几个靶场来练练,开始就拿比较好上手的bugku开始吧! 想蹭网先解开密码 这个题目又是不曾接触过的题型,去网上找找writeup操作一遍 提示WIFI密码为手机号。下载下来是一个cap包,用wireshark打开。 WIFI连接认证的重点在WPA的四次握手包,也就是eapol协议的包,过滤一下 正好四个包,接下来就是破解密码了,因为已经给了11位手机号的前七位,使用crunch生成一个密码字典,然后进行破解 关于chunch这个工具具体的使用方法,大家可以参考这篇文
2024年最全CTF BugKu平台——Crypto篇刷题记录(后续更新)_抄错的字符 ctf,2024年最新写得太好了
最新发布
2401_84281703的博客
05-11 749
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!】93道网络安全面试题内容实在太多,不一一截图了最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说
BUGKU-CTF入门笔记
Emooooor的博客
11-29 2274
CTF,BUGKU,入门
bugku解题思路
tainqiuer123的博客
08-17 855
神奇的代码世界,和漏洞。。。
初次接触的bugku 既束手无策又好玩
m0_61364659的博客
10-04 446
开始接触的时候吧,可以说我是小白中的小白,打开bugku的页面,以为和之前学习c语言时,做的练习题一样,直接在里面敲代码好了,可这个却与我平时见到的不一样,许是我见识太狭窄,初次的时候,怎么也找不到打开题目的方式,怎么也找不到题目的地址,通过各种网络的搜索,才发现自己憨憨的,哈哈哈哈,直接拿金币启动场景就好了。可以说没有动手就不会与任何的发现,这次我以一道题来讲述我初次接触时的感受。 下面的这道题,我初次做的时候很懵,通过搜索知道,原来要打开页面的源代码来找出flag,当...
bugku - Web
UP's blog
09-03 2020
刚刚入门CTF,如有错误,望大佬指教
中职网络安全2021年国赛Wireshark流量分析题目+capture.pcapng数据包文件
09-15
中职网络安全2021年国赛Wireshark流量分析题目+capture.pcapng数据包文件
2020数据包分析A题目
10-21
2020年全国职业院校技能大赛(中职组)“网络空间安全”
IP数据包流量监控.zip
06-18
"IP数据包流量监控"是一个常见的任务,它涉及到网络层的数据传输和分析。IP数据包是互联网协议(Internet Protocol)在网络中传输信息的基本单位,流量监控则是对其传输速率、方向、大小等属性的实时监测。下面我们...
菜刀webshell流量数据包
08-01
菜刀webshell流量数据包
B.pcap数据包分析题目.zip
10-14
1.通过分析虚拟机windows7桌面上的数据包B.pcapng,找到数据库里的flag最后一个字符是什么,将该字符作为FLAG提交; 2.通过分析数据包B.pcapng,找到黑客扫描到的主机IP是多少将该IP作为FLAG提交; 3.通过分析数据包...
BugKu---树木的小秘密逆向题解
m0_63581842的博客
02-17 1198
注意要装好Python,我装了python,没配置环境导致输入python pyinstxtractor.py easy_reverse.exe 运行不出来。Uncompyle6,是一个Python原生的跨版本反编译器,是decompyle, uncompyle, uncompyle2的后继版本。在cmd中,输入 dir /b 知道在easy_reverse.exe_extracted文件夹下面的文件,可以很显眼地看到123这个文件。可以看到很多Py的,猜测打包成exe文件之前就是python写的。
Bugku-头等舱&eval&矛盾&变量
Mjj567的博客
11-07 331
打开Burp Suite此处打开终端,运行以下命令(需要java环境)浏览器-》设置-》-》系统-》打开代理服务-》开启在这里记得点一下保存,使用后记得退出代理右键Send to Repeater一下 go。
Bugku杂项题目解析
北观止的博客
07-31 8539
Bugku杂项 1.签到题 关注zerosun,发送flag得到flag值 falg{ugotzerosun} 2.这是一张单纯的图片 直接使用命令cat 1.jpg 最后一行的的信息,可知使用了base解密。key{you are right} 在 站长之家base解密 http://tool.chinaz.com/Tools/Base64.aspx 得到: key{you are right} 3.隐写 https://www.jianshu.com/p/262397d9610b urar e 2.ra
BugkuCTF(old)----流量分析题目Writeup
Au
09-26 1772
flag被盗 文件不是很大,粗略看了一下,发现了shell.php字段 筛选为http流量,追踪TCP查看 直接得到flagflag{This_is_a_f10g} 中国菜刀 下载解压得到数据包,比较小只有7kb 只有TCP和HTTP协议流量,追踪TCP流查看,发现flag.tar.gz压缩包 使用kali集成的 binwa...
bugku 流量分析 这么多数据包 (这么多数据包找找吧,先找到getshell的流)
qq_42777804的博客
08-19 1545
下载后解压打开看看 用wireshark 打开 并且追踪 从1234->35880 或者 35880->1234的 tcp数据流 发现 base64编码的 Q0NURntkb195b3VfbGlrZV9zbmlmZmVyfQ== 对其进行解码的得到 CCTF{do_you_like_sniffer} ...
ctf之流量分析
热门推荐
xixixi
08-25 3万+
例题记录 用wireshark打开流量包 找到三次握手之后的http包 User-Agent里面有多个浏览器的名字,并且存在AppleWebkit,所以该攻击者利用了awvs扫描 awvs数据包判断标准:User-Agent里面有多个浏览器且存在AppleWebkit ...
基于数据包分析的网页还原技术研究-毕业论文.doc
03-27
基于数据包分析的网页还原技术研究

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值