杂项题的基本解题思路——4、流量取证技术

最新推荐文章于 2024-04-29 21:18:13 发布
最新推荐文章于 2024-04-29 21:18:13 发布
阅读量36 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46610258/article/details/132991408
版权

杂项题的基本解题思路——4、流量取证技术

04、流量包文件分析

流量包就是说我向你传递的时候,把你传递过程中的数据抓取下来,保存成一个文件

 流量取证技术就是说:题目会给你一个流量包,你要在流量包里面找到相应的一些文件(有时候flag值就藏在流量包的某一个位置)

①wirkshark工具

查看自己的电脑有没有安装wireshark:win+R——》输入wireshark看能不能打开

kaliLinux自带了wireshark

 

利用wirkshark工具的过滤器功能

常用的过滤命令

1、 过滤IP 如过滤源IP或者目的IP

ip.src eq x.x.x.x   过滤源ip          (eq可以写等于号==)

ip,dst eq x.x.x.x  过滤目的ip

ip.addr eq x.x.x.  过滤某个ip地址

2、 过滤端口

网页的端口一般是80端口

tcp.port eq 80  udp.port eq 80  过滤tcp或者udp的80端口流量包

tcp.dstport == 80    只显示tcp协议的目标端口为80的流量包

tcp.srcport == 80    只显示tcp协议的源端口为80的流量包

tcp.port >=1 and tcp.port <=80

3、 过滤协议            

直接输入

 (可以先看http)

4、过滤mac地址

5、包长度过滤

 

6、http模式过滤★★★★

contain非常好用   类似于一个搜索功能

通常打开一个流量包,先筛选一下有没有HTTP,如果没有第二件事就是去看它大致有哪些协议,看一下它有没有包含flg、key、提示内容。。。。

wireshark协议分析(分级)

协议分级:

 

 

wireshark流汇聚:

一般是用流汇聚去追踪tcp或http的流量

 

 

 

 

②无线流量包破解密码

 

③usb流量包文件分析

1 键盘流量包抓取分析

下图中的python脚本可以将usb的leftover capture data数据映射为键盘数据(abc……)

 

 leftover capture data数据提取方式1 :导出到excel表中(会自动变成科学计数法)《——不好用

leftover capture data数据提取方式2:利用wireshark提供的命令行巩固tshark,可以将leftover capture data数据单独复制出来

kali和Windows都可以用

2 usb鼠标流量抓取分析

 

 脚本中倒数第三行中的flag==1表示顺序为左,flag==2表示右,分析时有时候需要改变左右。

 

 

 

 

④https流量包文件分析

https=http(协议)+tls(套阶层)

下图中的key需要通过题目线索得到

 

 

Arthur_hsp
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF杂项解题思路探究.zip
02-26
CTF杂项解题思路探究.zip
杂项基本解题思路(2)——压缩文件处理
qq_42812036的博客
05-15 1409
文件操作隐写 图片隐写 压缩文件处理 流量取证技术 压缩文件分析 ctf给出压缩包,然后要去对压缩包分析。 1、伪加密 如果压缩文件是加密的,或文件头正常但压缩错误,首先尝试文件是否为伪加密。 zip文件是否加密通过文件标识符来显示的,在每个文件的文件目录字段有一位专门标识了文件是否加密,将其设置为00,表示该文件未加密,并且呢,解压成功的话,表示伪加密,否则,它很可能真的是一个加密压缩包。...
杂项基本解题思路(1)——文件操作隐写、图片隐写
qq_42812036的博客
05-07 2789
文件操作隐写 图片隐写 压缩文件处理 流量取证技术 文件基本类型的识别 一、kail 下 file 文件名 原理就是识别文件文件头 比如这个软件: 二、WinHex 通过winhex分析能得到16进制和ascii, flag可能就在右边ascii区头部或尾部。 三、文件头残缺、错误 只告诉说是一个data文件; 这时要进行修复:编辑文件头区域修改为正确的方式 。 文件分离操作 一、...
CTF——杂项基本解题思路
weixin_44087538的博客
04-10 947
使用binwalk查看文件的组成部分,使用dd命令对文件进行分离,从图中可以看到0-22895是jpeg格式,22896-23046是zip格式,则dd命令格式为:dd if=输入文件 of=输出文件 bs=1 count=23046 skip=22859,即每一块大小为1,跳过前22895块。zip文件是否加密是通过标识符来显示的,在每个文件的文件目录字段有一位专门标识了文件是否加密,将其设置为00表示该文件未加密,若成功解压则表示文件为伪加密,如果解压出错说明文件为真加密。
CTF MISC(杂项)知识点总结——图片类(一)
网络安全
08-22 8680
CTF MISC(杂项)知识点总结——图片类(一) Misc为英文miscellaneous的前四个字母,杂项、混合体、大杂烩的意思。 主要目类型包括: 1.图片隐写、修复、分离 2.字符串类、进制转换 3.音频&视频隐写 4.数据包分析 5.内存取证 6.游戏隐写 7.综合类 今天先给大家分享一下图片类的解题思路和常用工具 一、常用工具 十六进制编辑器010 editor binwalk或者foremost (文件分离工具) steghide (图片隐写) stegsolve (图片隐
linux隐写文件剥离,杂项基本解题思路(1)——文件操作隐写、图片隐写
weixin_39997443的博客
04-30 429
文件操作隐写图片隐写压缩文件处理流量取证技术文章本来是分成4部分的,但是前两部分何在一起写了也就没有分开,所以干脆就只分了两部分文件基本类型的识别一、kail 下file 文件名原理就是识别文件文件头比如这个软件:二、WinHex 通过winhex分析能得到16进制和ascii, flag可能就在右边ascii区头部或尾部。 三、文件头残缺、错误 只告诉说是一个data文件;这时要进行修复:编辑文...
CTF MISC解题思路总结篇
qq_53105813的博客
07-04 7734
杂项总结
CTF入门笔记----------杂项
因上努力,果上随缘的博客
04-20 2447
目录 杂项基本解题思路:1、文件操作与隐写1.1文件类型识别1.2文件分离操作1.3文件合并操作1.4文件内容隐写2、图片隐身术2.1 图片文字隐写2.2 图片文件隐写(---善用工具**)3、压缩文件处理3.1压缩文件分析4、流量取证技术4.1流量包文件分析4.2无线流量包密码4.3USB流量包文件分析4.4HTTPS流量包文件分析 杂项基本解题思路: 简单在于用工具 1、文件操作与隐写...
网络渗透——CTF实践
Woolemon的博客
12-10 2440
这里写目录标实验目的实验原理什么是CTFCTF竞赛模式CTF各大型简介实验步骤和内容发现目标 (netdiscover),找到WebDeveloper的IP地址查看目标主机端口开放、服务情况(NMAP扫描)利用浏览器访问目标网站whatweb探测目标网站使用的CMS模板wpscan功能Dirb 爆破网站目录Wireshark分析该数据包,分析TCP数据流利用上一步得到的信息进入网站后台利用该CMS存在的(插件Plugin)漏洞进行提权其他方案SSH登录服务器实验总结 实验目的 通过对目标靶机的渗透过程,
网络安全从零开始学习CTF——CTF基本概念_ctf竞赛编程环境是什么
2401_84254057的博客
04-29 844
一般大型比赛大都是i春秋承办的,以小组的形式比赛,分预选赛和总决赛。
网络安全杂项相关解题思路整理
10-08
网络安全杂项相关解题思路整理
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界杂项流量分析1
11-14
攻防世界杂项流量分析1,misc。 此详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127840807
C#2.0 锐利体验系列课程(4):杂项技术,以及C#语言的未来发展.wmv
08-06
C#2.0 锐利体验系列课程(4):杂项技术,以及C#语言的未来发展.wmv,收藏多年,分享给大家。这是官方讲解,清晰直接。
node-v4.8.6-win-x64.zip
05-07
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基础运维技能(下)md格式笔记
最新发布
05-07
基础运维技能(下)md格式笔记
node-v8.1.2-linux-armv7l.tar.xz
05-07
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
黑马程序员 C语言学习笔记
05-07
持续更新
hctf2016-杂项签到
12-16
除了编码目,还有可能会出现一些基本的算术或者逻辑。这些目通常都包含了一些隐藏的规律或者提示,选手需要仔细观察目,并运用自己的智力来解答。 在完成这些杂项签到目的过程中,选手需要注重细节,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值