文章详细描述了解码网络包、寻找私钥、识别Base64编码、使用OCR、追踪HTTP流等技术手段,涉及SQL注入、GETshell攻击以及各种网络工具(如Nmap、IceScorpions)在网络安全竞赛中的应用,展示了参赛者分析和破解网络流量的技巧。
1.BUUCTF[DDCTF2018] attachment2
一个pcap包,一个hink。
要我们找私钥,打开之后先用过滤找tcp包里带有“key”的。
tcp contains “key”
发现带有base64编码,追踪流拿出来用工具解码一下。
没解出来,发现带着个png。
下载下来发现里面看着像私钥。
用ocr识别完,再纠正一下,用hink里的套一下。
然后搜一下http传输内容,追踪一下流,发现flag。
2.FLAG明文
直接tcp过滤找flag,http过滤找flag。
http contains “flag”
追踪流。
找到flag,并且发现被flag.txt文件包含着。
3.FLAG编码
都是udp流和arp流。
那直接找含有"flag{"的报文,发现没有。
把flag{编码完再过滤一下,出来了。
追踪流,复制下来解码。
4.菜刀
题目是菜刀那就过滤出@eval的包。
对比发现有一个包里装了hex编码,拿出来解密。
埃及文字说是。
导出变压缩包放进notepad里改成ascii码。
5.管理员密码
需要管理员的密码,去找管理员登陆时的流。
登陆一般用POST方法,那就过滤POST。
追踪。
6.流量中的线索
先看http包
对比发现base64编码。
解码发现一张图片带着flag。
7.SQL
打开查看http报文发现在尝试sql注入,导出http报文。
导出报文。
注入成功和注入失败的报文长度一定不同,所以按lenth排序。
然后pyhton爬下来转成字符串就是flag。
8.GETshell
可以很简单分析出来,用SYN发假包扫端口,因为有SYN和RST复位包。
题目是getshell,那就想到后面getshell了要干嘛,要和服务器发起完整三次握手从服务器获取数据。所以开始看tcp包。
看瞎了眼找出来一个这个。
9.冰蝎2.0
打开过滤http包会发现很多这样的base64编码的东西。
进行分析,查看会发送俩次 Get 请求,分为俩次 Get 的握手请求,第一次请求服务端产生密钥写入session,session 和当前会话绑定。不同的客户端的密钥也是不同的,第二次请求是为了获取 key。此时的eaf815fcc1dd7afb就为解密代码的 key.
解码后发现还有一层,再次解码。
也可以写一个python脚本自动跑解码,但是我不会。
参考文章:http://t.csdnimg.cn/1aXBH
10.冰蝎3.0
11.sqlmap
过滤一下http包,一上来就看见常威在打来福。
静态分析:
sqlmap流量最明显的特证就是User-agent。
、
如果不做任何掩饰,一般都是这个。
12.nmap
Nmap对于端口6种状态的定义
这6种状态的定义只存在于namp中,不能保证一定是准确的。为什么介绍nmap因为它对端口划分的粒度可以说是最细的,对渗透和安全审计人员来说具有较高的参考价值。
Open(端口处于开放状态)这种状态可以理解为该端口上有服务正在进行监听,所以它需要开放这个端口用来建立连接或是数据传输。对黑客和系统管理员来说这样的端口都是重点关注的对象。
Closed(端口处于关闭状态)这种状态只能证明该端口上没有服务在监听,但这个端口我们其实是可以访问到的,并且它随时有可能进入到开放的状态
Filtered(被过滤的)这种状态一般就是发出的报文无法到达目的主机的端口,往往都是中间防火墙或者各种包过滤的应用进行了拦截或者流量的筛选。此时nmap无法确定端口的具体状态,如果能绕过防火墙之类的安全设备再次进行探测说不定会有收获。
Unfiltered(未被过滤的)这种状态可以理解为此时发出的报文实际是到达了目的主机端口的,但仅仅通过返回的报文nmap无法判断这个端口是否处于开放的状态。只有用于映射防火墙规则集的ACK扫描才会把端口分类到这种状态。 用其它类型的扫描如窗口扫描,SYN扫描,或者FIN扫描来
扫描未被过滤的端口可以帮助确定 端口是否开放
Open | Filtered (开放或被过滤的)当无法确定端口是开放还是被过滤的,Nmap就把该端口划分成 这种状态。开放的端口不响应就是其中一种情况。UDP,IP协议, FIN,Null,和Xmas扫描可能把端口归入此类
Closed | Filtered (关闭或者被过滤的)该状态用于Nmap不能确定端口是关闭的还是被过滤的。 它只可能出现在IPID Idle扫描中。
*
经典的SYN扫描(SYN,ACK,RST,ICMP)。
主要侦查语句:
tcp && ip.dst == [namp 扫描的 ip]
会检测到大量的tcp包对端口进行访问。
13.冰蝎4.0
参考连接:
发现很明显的冰蝎特征:
冰蝎默认长链接,并且冰蝎设置了10种User-Agent,每次连接shell时会随机选择一个进行使用。
14.哥斯拉
Accept-language和Pass=是哥斯拉一个很明显的流量特征。
连接时抓包发现哥斯拉建立连接时会发起三次请求。
第2个请求中已经自动带上了第1个请求中服务器响应返回的Cookie值,并且第2个请求中只有少量的数据,需要注意的是再 哥斯拉4.0 中即使使用的是 base64 加密流量中却是乱码,再之前版本中流量为 base64 字符串。
15.AS
蚁剑流量特征两大特征
1、默认的 user-agent 请求头是 antsword xxx(可修改)
2、蚁剑的正文内容用URL加密,解密后流量最中明显的特征为ini_set("display_errors","0");
蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以“0x加密后”“这种形式(下划可换》,所以以-0x开头的参数也很可能就是恶意流量。
941
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
