一道简单的流量分析

最新推荐文章于 2024-03-19 21:20:48 发布
最新推荐文章于 2024-03-19 21:20:48 发布
阅读量5.6k 收藏 14
点赞数 2
分类专栏: ctf刷题纪 文章标签: tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52268949/article/details/121478090
版权
本文详细介绍了如何使用Wireshark工具分析网络流量数据包attack.pcapng,从中提取黑客IP、扫描的端口、用户名、密码、一句话木马密码以及黑客下载的文件等关键信息。通过过滤HTTP GET和POST请求,识别出黑客活动,并解密了黑客获取的敏感数据。
摘要由CSDN通过智能技术生成

流量附件提取
链接:https://pan.baidu.com/s/1oHSbIFiqs6ENmqykzFkEKg
提取码:do7s

1、 使用Wireshark查看并分析attack.pcapng数据包文件,通过分析数据包attack.pcapng找出黑客的IP地址,并将黑客的IP地址作为FLAG(形式:[IP地址])提交:
我们使用http.request.method == GET这个方法来过滤一下GET请求包
在这里插入图片描述
在这里插入图片描述

发现两个登录页面的请求包一个是172.16.1.10向172.16.1.101发出的请求 一个是172.16.1.102向172.16.1.10发出的请求但是都没有关于用户名密码的相关信息再试试POST方法
在这里插入图片描述

在这里我们发现了用户名密码基本确定黑客ip 172.16.1.102
所以这一小解答案为:flag{172.16.1.102}
2、 继续查看数据包文件attack.pacapng,分析出黑客扫描了哪些端口,并将全部的端口作为FLAG(形式:[端口名1,端口名2,端口名3…,端口名n])从低到高提交
筛选源ip是172.16.1.102并且是tcp协议(备注:nmap扫描端口是基于tcp)的流量包
ip.src==172.16.1.102&&tcp
在这里插入图片描述

这样答案就出来了
flag{21,23,80,445,3389,5007}
3、继续查看数据包文件attack.pacapng分析出黑客最终获得的用户名是什么,并将用户名作为FLAG(形式:[用户名])提交:
这题就比较简单的了我们去第一题中就能找到对应的解题思路,我再这里再演示一遍
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

得到答案flag{Lancelot}
4、继续查看数据包文件attack.pacapng分析出黑客最终获得的密码是什么,并将密码作为FLAG(形式:[密码])提交:(图请见上一题中的图)
flag{12369874}
5、继续查看数据包文件attack.pacapng分析出黑客连接一句话木马的密码是什么,并将一句话密码作为FLAG(形式:[一句话密码])提交:
一句话木马的一半格式就为<?php eval($_POST[cmd]);?>那我尝试一下过滤一下POST请求方式试一下
在这里插入图片描述

在3778帧的数据包处发现了一句话木马POST的密码答案即为
flag{z0}
6、继续查看数据包文件attack.pacapng分析出黑客下载了什么文件,并将文件名及后缀作为FLAG(形式:[文件名.后缀名])提交:
首先查看172.16.1.102发送的get请求包
在这里插入图片描述

黑客在index.php中进行了SQL注入攻击在最后访问了upload.php
在post传参的upload.php界面
在这里插入图片描述

找到答案flag{flag.zip}
7、继续查看数据包文件attack.pacapng提取出黑客下载的文件,并将文件里面的内容为FLAG(形式:[文件内容])提交:
追踪上一题流量的tcp流
在这里插入图片描述

发现压缩包数据我们保存原始数据解压即可发现flag
在这里插入图片描述

得到flag

听门外雪花飞
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一、Bugku----flag被盗了------流量分析题------http
qwsn
10-13 2114
一、题目 题目网盘链接:https://pan.baidu.com/s/1ZkRcnz15g9iTQOJ_ti0D0Q 提取码:gnnl 二、解题步骤: 1. 用wireshark打开key.pcapng; 2. 筛选http; 3. 尝试get形式的包,右击,点击追踪流,无结果; 4. 尝试post形式的包,右击,点击追踪流,有结果。 三、flag: flag{This_i...
bugku 流量分析:flag被盗&这么多流量包&特殊后门
为之的博客
07-02 1063
一、flag被盗 用wireshark打开文件后,随便对一个tcp进行追踪tcp流,就能发现一个shell.php的请求 想了下,我直接在过滤器使用tcp contains "flag" 二、这么多流量包 打开一看,好多坏包,太多了无法分析,肯定需要使用过滤器对其进行过滤,但是使用tcp contains "flag" 无法获取到flag,想也觉得没这么简单23333 自己半天没着,百度晓得一般关键都会包含 “command”这个词,于是搜索tcpcontain...
CTF之流量分析
热门推荐
shy的博客
06-05 2万+
CTF杂项存在一种题型——流量分析,主要是给你一个流量包,让你分析获取其的flag的值。 有5种方式,可以直接查flag。 1、直接搜索 2、使用notepad++等软件,直接打开流量包,搜索关键字 3、编写python脚本 #encoding:utf-8 #用二进制方式读取文件 file=open("networking.pcap","rb") #读取文件内容 i=file.read() #查字段 a1=i.find("flag{") a2=i.find("}",a1) #将查
关于流量分析题目的解析
最新发布
TJHder的博客
03-19 1228
展示一部份吧,我们将它先利用hex转化为ascii,然后这个是一个埃及文,意思是说要进行一个zip文件格式的保存然后利用notepad++进行一个ascii的转换即可得到一个docx(word文档),里面就有flag!我们将这个字节流保存下来,然后用工具发现它是一个jpg格式的图,于是以jpg的格式进行保存下来于是我们就可以看到密码是多少,然后我们将这个密码带入进去就可以得到我们需要的flag。先在kali里面用弱口令去进行爆破,然后将密码带入并生成一个1.pcap的文件打开后,查http协议的即可。
wireshark流量分析网络安全
夜思红尘的博客
04-18 3268
这是关于一篇wireshark分析数据包的文章,主要是网络安全里的应用,讲述了wireshark的使用方法,主要使用的事wrieshark里的追踪流,欢迎大家学习借鉴!
2009下半年软件设计师下午试题分析与解答
11-12
假设一道典型的案例分析题如下: > 某电商平台在“双11”期间遭遇访问量激增导致服务器崩溃,请分析原因并提出改进建议。 **解析:** - **原因分析**: - 服务器资源不足,无法应对突发的大流量访问。 - 缓存...
电力系统配电线路设计要点分析 (1).pdf
08-27
导线截面积的大小直接影响了配电线路的载流量,但是在确定导线截面积时,不能仅考虑能否满足载流量要求,还应该对发热条件、电压损耗、经济电流密度和机械强度等进行对比分析。大多数情况下,需根据给定的电压等级,...
基于用户信任值的一种检测和防御DDoS攻击模型的相关技术分析
07-05
本文通过对入侵检测技术、入侵防御技术、DDoS攻击系统的概念及其基本原理、用户信任管理体系和信任分类...通过不断监测和分析用户行为,结合先进的入侵检测与防御技术,可以构建起一道坚固的防线来抵御DDoS攻击的威胁。
山东省胶南市隐珠学七年级数学阶段检测10 人教版
08-19
11. 简单路线问题:这是一道简单的最短路径问题,通过比较不同路线的长度来出最快的路径。 12. 科学记数法:将一个大数用科学记数法表示,需要将数字移动小数点的位置,并在前面加上适当的10的幂。 13. 时钟角度...
系统防病毒技术白皮书.docx
10-13
- 应用识别引擎:通过深入分析网络流量,识别出潜在的恶意行为,防止病毒通过各种应用传播。 - 防病毒响应:一旦检测到病毒,系统能快速响应,阻止病毒执行并清除已感染的文件。 - 病毒库升级:保持最的病毒特征库...
流量分析+dmp文件获取用户密码
qq_47804678的博客
04-06 647
dmp文件是windows系统的错误转储文件,当Windows发生错误蓝屏的时候,系统将当前RAM内存【含虚拟内存】的数据直接写到文件去,方便定位故障原因。可以看到在响应状态为200的流量,之前都是upload/config.php的路径,但最后一个是请求了一个lsass.dmp的文件,所以就是系统的错误转储文件,里面就有可能会有用户的账号密码。mimikatz 是一款功能强大的轻量级调试神器,通过它你可以提升进程权限,注入进程,读取进程内存,当然他最大的亮点是。打开好多包,先筛一波http,
CTF 流量包相关-流量分析(1)
qq_56815564的博客
04-28 1万+
前面的flag不论是直接给你明文,还是有一定的编码,都是比较简单的,像这些十成甚至九成都会是签到题,所以了解一下知道有这种情况就好,重点不再这边另外这里还是给出一下风佬的脚本吧,虽然我感觉用到的几率应该不会很大,如果要用的话,那个破空查flag的工具应该会比较好用,下载的话,风佬的git里面应该有,这里就不给了。
网络安全B模块wireshark0051.pcap数据包分析
m0_73632458的博客
03-28 610
1. 从靶机服务器的FTP 上下载wireshark0051. pcap 数据包文件,出黑客获取剑的可成功登录目标服务器FTP 的账号密码,并将黑客获取到的账号密码作为FIag 值<用户名与密码之问以英文逗号分隔,如:root, toor)提交;6.继续分析数据包 wireshark0051.pcap,出黑客暴力破解目标服务器 Telnet服务并成功获取到的用户名与密码,并将获取到的用户名与密码作为 Flag值(用户名与密码之问以英文逗号分隔,例如:root,toot)提交;下载命令:get 文件名。
Wireshark之攻击流量分析
qq_52486507的博客
03-10 3441
7.继续查看数据包文件logs.pacapng将恶意用户下载的文件里面的内容作为Flag值(形式:[文件内容])提交。5.继续查看数据包文件logs.pacapng分析出恶意用户连接一句话木马的密码是什么,并将一句话密码作为Flag。3.继续查看数据包文件logs.pacapng分析出恶意用户读取服务器的文件名是什么,并将该文件名作为Flag值。4.继续查看数据包文件logs.pacapng分析出恶意用户写入一句话木马的路径是什么,并将该路径作为Flag值。所以Flag的值:Flag:[flag.zip]
流量包,并且通过流量包获取账号密码来getshell
weixin_47156475的博客
08-13 465
在每次访问security snapshot时,urldata后面的数字都不相同 尝试修改成0,结果如下: 发现了很多的tcpip流量包,于是download流量包,用wireshark分析流量包 成功获取ftp的用户名跟密码,然后登录ftp 尝试用这个账号跟密码去登录ssh 成功登录,并且获取到user.txt里面的内容 ...
流量分析题-attack.pcapng
m0_64506623的博客
02-20 1245
密码:y11。
2022年职组网络安全国赛A模块题目解析
qq_57147160的博客
04-13 8895
2022年全国职业院校技能大赛(职组) 网络安全竞赛试题 (1) (总分100分) 赛题说明 一、竞赛项目简介 “网络安全”竞赛共分A.基础设施设置与安全加固;B.网络安全事件响应、数字取证调查和应用安全;C.CTF夺旗-攻击;D.CTF夺旗-防御等四个模块。根据比赛实际情况,竞赛赛场实际使用赛题参数、表述及环境可能有适当修改,具体情况以实际比赛发放赛题为准。竞赛时间安排和分值权重见表1。 表1 竞赛时间安排与分值权重 模块编号 模块名.
[陇剑杯 2021]webshell
haosha。的博客
01-20 2303
[陇剑杯 2021]webshell 题目做法及思路解析(个人分享)
网络渗透测试实验四
weixin_63154145的博客
11-20 817
CTF实践
wireshark流量分析
08-02
根据引用[1]和引用[2]的内容,这是一道关于使用Wireshark进行流量分析的题目。通过分析数据包文件attack.pcapng,我们需要出黑客的IP地址作为FLAG。同时,引用[3]提到了在分析过程发现了一个疑似zip文件的数据,其文件名为flag.zip。 因此,我们可以得出结论: - 黑客的IP地址是FLAG,但具体IP地址需要通过分析attack.pcapng数据包文件来确定。 - 在分析过程发现了一个名为flag.zip的文件,可能是答案。 请注意,由于题目提到了具体的数据包文件和相关操作,我无法提供具体的IP地址或文件内容。你可以根据题目提供的信息,使用Wireshark工具进行流量分析出黑客的IP地址和flag.zip文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值