密码-流量分析

已于 2023-06-27 16:59:36 修改
阅读量340 收藏 1
点赞数 1
分类专栏: CTF 文章标签: python
于 2023-06-27 16:52:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49803180/article/details/131420760
版权

例题

1.简单流量分析-攻防世界

题目描述:

不久前,运维人员在日常安全检查的时候发现现场某设备会不时向某不知名ip发出非正常的ICMP PING包。这引起了运维人员的注意,他在过滤出ICMP包分析并马上开始做应急处理很可能已被攻击的设备。运维人员到底发现了什么? flag形式为 flag{}

from pyshark.capture.file_capture import FileCapture
from base64 import b64decode
from sys import argv

def solve(file_name):
    packets=FileCapture(input_file=file_name)
    res=''
    for packet in packets:
        for pkt in packet:
            if pkt.layer_name=='icmp' and int(pkt.type,16):
                res+=chr(int(pkt.data_len))
    return b64decode(res)

if __name__=='__main__':
    print(solve(argv[1]))
┌──(kali㉿kali)-[~/Desktop]
└─$ python rsa.py fetus_pcap.pcap 
b'::\\nmongodb:!:17843:0:99999:7:::\\nubuntu:$6$LhHRomTE$M7C4n84UcFLAG{xx2b8a_6mm64c_fsociety}::'
2.工业协议分析2-攻防世界

题目描述:

在进行工业企业检查评估工作中,发现了疑似感染恶意软件的上位机。现已提取出上位机通信流量,尝试分析出异常点,获取FLAG。 flag形式为 flag{}

题目描述说已提取出上位机通信流量,尝试分析出异常点,获取FLAG。 flag形式为 flag{},这其实就是一个暗示,flag就在通信流量中,至于哪里异常,查了资料,有的说UDP的长度有部分异常,要一个个点击查看。可是为什么我感觉UDP大的一堆,小的也一堆,也不知道哪里异常:

其实在题目中已经暗示了flag就在异常流量中,直接搜索flag搜索不到,将flag转化为16进制,然后进行搜索。

>>> n='flag'
>>> flag=''
>>> for i in n:
...     flag += hex(ord(i))
... 
>>> flag
'0x660x6c0x610x67'
>>> flag.replace('0x','')
'666c6167'
>>> 

666c61677b37466f4d3253746b6865507a7d

然后进行转换

>>> m='666c61677b37466f4d3253746b6865507a7d'
>>> flag=''
>>> for i in range(0,len(m),2):
...     flag += chr(int(m[i:i+2],16))
... 
>>> flag
'flag{7FoM2StkhePz}'

就这样,啾咪!

elmxi
关注
专栏目录
traffic-analysis:使用Pysharktshark进行流量分析
04-02
用法示例 要分析包含设备和服务器之间流量的pcap文件,请指定其路径和IP地址: ./pcap_analysis.py --pcap trace-mup-PUB-UPDATE-IMAGE.pcap --device-addr 00:12:4b:00:04:13:3d:f0 --broker-addr 00:12:4b:00:04:13:36:c1 要分析应用程序层有效负载,请另外指定要使用的有效负载分析器模块的名称: --payload-analyser myno 要使用特定的tshark二进制文件和MQTT版本,请另外指定二进制文件的路径和版本: --tshark /home/vagrant/iot/wireshark-3.3.0rc0-1711-gc099892700eb/build/run/tshark --mqtt-version 5.0 注意:首选项“ mqtt.de
Misc_冰蝎流量分析
He0an39n的博客
06-29 3378
Misc_冰蝎流量分析
Bugku Misc 流量分析(cnss)
我,我的博客
08-09 1188
附件下载,数据流文件,直接wireshark打开,很简单,6个包 于是,年轻的我开始了各种Cookie注入,想想认为一定放在bilibili个人空间的某个显眼的地方。 然后,各种失败。 最后,就想放弃这题之前去看看17190571这个ID 结果~ 经过两次base64解码,OK cnss{b1libil1_A_gay_wEbsite} 结束!!!...
记一道流量分析-MISC题目
qq_41274349的博客
06-26 316
CTF、MISC、流量分析
绿城杯-Misc-流量分析
qq_49422880的博客
03-15 3313
绿城杯-Misc-流量分析0x01 复现开始 0x01 复现开始 导出HTTP对象后开始浏览数据包,发现数据包中有奇怪的流量。 经过网上查询, 找到这是CVE-2021-3129 漏洞攻击特征,发现这是一种lavarel的流量数据包,是一个远程RCE的一个漏洞。这个流量是经过加密处理的,需要我们进行还原。 将AAA*去掉 把=00换为空 base64解码 <?php $str = 'P=00D=009=00w=00a=00H=00A=00g=00X=001=009=00I=00Q=00U=00
启明HW-流量分析考题
04-24
本资源是启明星辰对于护网的考核题目,主要是流量分析方面的实战题目。
溯源取证-流量分析 中级难度的资源
05-30
【标题】:“溯源取证-流量分析 中级难度的资源”主要涵盖了网络安全领域中的高级技术,旨在帮助用户深入了解网络流量分析和电子取证。这些资源对于网络安全专业人员或对网络安全有兴趣的学者来说是极其宝贵的。 ...
玄机应急响应哥斯拉4.0-流量分析
最新发布
Lucker_YYY的博客
09-24 717
ssh查看服务器history得到将/tmp/pam_unix.so复制到了/lib/x86_64-linux-gnu/security/pam_unix.so。将pam_unix.so文件下载下来ida打开分析查看函数pam_sm_authenticate 这个函数是用来控制认证的,pam后门常常放在这里。黑客留下后门的反连的IP和PORT是什么?黑客连接webshell时查询当前shell的权限是什么?黑客连接webshell后执行的第一条命令是什么?黑客通过什么漏洞进入服务器的(提交cve编号)
2021-10-12T15_46_29.634969+00_00misc题_流量分析.rar
10-21
标题 "2021-10-12T15_46_29.634969+00_00misc题_流量分析.rar" 暗示这是一个关于网络安全竞赛(CTF)的挑战,涉及的是流量分析方面的内容。描述提到“CTF附件题——MISC类型——数据库登录”,表明该挑战可能需要...
流量分析例题目(包含原题).md
02-20
综上所述,通过对A集团遭遇的APT攻击案例的分析,我们可以了解到如何利用Wireshark等工具进行网络流量分析,进而识别和防御网络攻击。这不仅有助于提升网络安全防御能力,也为网络安全专业人士提供了宝贵的实践经验...
Pyshark——安装、解析pcap文件
计算机硕士的博客
06-16 2227
Pyshark——安装、解析pcap文件。
CTF——MISC习题讲解(流量分析winshark系列~四)
tlovejr的博客
03-17 4809
CTF——MISC习题讲解(流量分析winshark系列~四) 前言 上一章节我们已经做完一场流量分析杂项题目,接下来继续给大家讲解流量分析系列四。 一、工控协议分析 首先打开题目如下 搜索flag发现也没有什么有用的东西 其实在做流分题中还是有一个小技巧,就是看一下长度 排序看到确实有一个长度过于长,而且在下面也有base编码 然后导出分组字节流 这样的话先把对于的东西给去除,然后进行base64解码 发现是个图片,那就直接在这里转换为图片 得到flag{ICS-mms104} 二、管理员的密码就是fl
2021狼山论剑工控安全大赛——Misc 部分流量分析
Mark的博客
09-02 388
01 流量分析 操作过程: 将题目文件导入 wireshark, wireshark 筛选 s7 协议, 对筛选出的内容进行查看,获取到 base64 编码格式的 flag 值 结果: flag{I2s_ComE} 02 协议分析 操作过程: 通过查看数据包找到一串 base64 编码内容,进行解码即 flag 结果: flag{s45egWT4} ...
流量分析--入门刷题(2道)
fake_GG_Bond的博客
12-06 175
流量分析wireshark的简单刷题01
全国网络与信息安全管理员职工职业技能竞赛线下培训—简单的流量分析
afei001
12-05 1057
全国网络与信息安全管理员职工职业技能竞赛线下培训—简单的流量分析
[纵横网络靶场社区]简单流量分析
末初的CSDN博客
09-20 1307
每个ICMP包的data字段都带了一段不同的base64 尝试解码了几段,发现啥也不是。之后的思路需要一点点脑洞,但是对于经验比较丰富的misc手来说也不难猜。 经过仔细观察每个ICMP包中的data段中的base64长度都为十进制ASCII码的可显示字符范围。 将这些ICMP请求包中的data字段数据提取出来,返回包的数据和请求包是一样的,提取的时候只提取请求包的即可 使用tshark提取源地址为192.168.3.73的包的data字段: tshark -r fetus_pcap.pcap -Y '.
纵横网络靶场--协议相关writeup
潇逗
04-10 1213
纵横网络网址: https://game.fengtaisec.com/黑客通过外网进入一家工厂的控制网络,之后对工控网络中的操作员站系统进行了攻击,最终通过工控协议破坏了正常的业务。我们得到了操作员站在攻击前后的网络流量数据包,我们需要分析流量中的蛛丝马迹,找到FLAG,flag形式为 flag{} 下载pcap文件。 方法一: 直接找modbus协议 ,直接length进行排序,长度117也比较可疑,打开就是flag 点击追踪流-》TCP 方法二:拿到流量分析的文件,观察到他现实读取了线圈和保存寄存器
CTF 流量包相关-流量分析(1)
热门推荐
qq_56815564的博客
04-28 1万+
前面的flag不论是直接给你明文,还是有一定的编码,都是比较简单的,像这些十成甚至九成都会是签到题,所以了解一下知道有这种情况就好,重点不再这边另外这里还是给出一下风佬的脚本吧,虽然我感觉用到的几率应该不会很大,如果要用的话,那个破空查flag的工具应该会比较好用,下载的话,风佬的git里面应该有,这里就不给了。
工控安全,纵横网络靶场部分WP(一)
Zhangyannn的博客
06-04 3399
纵横网络靶场部分 wp 前言 最近有了misc、二进制、web的一些基础后,准备开始工控安全的一些题目学习。目前做了几道靶场题目,发现主要题型还是和modbus等工控协议相关的流量分析、misc相关等,所以简单做一个记录,以便以后学习回顾。 黑客的大意 题目描述: 文件下载下来后得到的是一个没有格式的文档,所以我们先用winhex或者010看一下文件是什么格式的 可以看到,文件头显示mail文件是png格式的,所以我们修改后缀名,用png格式打开mail文件,得到如下的图片 可以看到得到的图片里面包含
解析CTF挑战:流量分析密码攻破
资源摘要信息: "本文档包含了两个关于CTF(Capture The Flag)竞赛中的流量分析题目的解题过程和知识点。CTF是一种网络安全竞赛,参赛者需要通过分析和解决问题来获取虚拟的旗帜(flags),以此证明自己的能力。本...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值