Wireshark(流量分析题)WP

已于 2024-03-11 23:17:25 修改
阅读量550 收藏 4
点赞数 4
文章标签: wireshark 测试工具 网络
于 2024-03-11 20:10:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wyh13123803906/article/details/136460630
版权

1.BUUCTF[DDCTF2018] attachment2

一个pcap包,一个hink。

要我们找私钥,打开之后先用过滤找tcp包里带有“key”的。

tcp contains “key”

发现带有base64编码,追踪流拿出来用工具解码一下。

没解出来,发现带着个png。

下载下来发现里面看着像私钥。

用ocr识别完,再纠正一下,用hink里的套一下。

然后搜一下http传输内容,追踪一下流,发现flag。

2.FLAG明文

直接tcp过滤找flag,http过滤找flag。

http contains “flag”

 追踪流。

找到flag,并且发现被flag.txt文件包含着。

3.FLAG编码

都是udp流和arp流。

那直接找含有"flag{"的报文,发现没有。

把flag{编码完再过滤一下,出来了。

追踪流,复制下来解码。

4.菜刀

题目是菜刀那就过滤出@eval的包。

对比发现有一个包里装了hex编码,拿出来解密。

埃及文字说是。

导出变压缩包放进notepad里改成ascii码。

5.管理员密码

需要管理员的密码,去找管理员登陆时的流。

登陆一般用POST方法,那就过滤POST。

追踪。

6.流量中的线索

先看http包

对比发现base64编码。

解码发现一张图片带着flag。

7.SQL

打开查看http报文发现在尝试sql注入,导出http报文。

导出报文。

注入成功和注入失败的报文长度一定不同,所以按lenth排序。

然后pyhton爬下来转成字符串就是flag。

8.GETshell

可以很简单分析出来,用SYN发假包扫端口,因为有SYN和RST复位包。

题目是getshell,那就想到后面getshell了要干嘛,要和服务器发起完整三次握手从服务器获取数据。所以开始看tcp包。

看瞎了眼找出来一个这个。

9.冰蝎2.0

打开过滤http包会发现很多这样的base64编码的东西。

进行分析,查看会发送俩次 Get 请求,分为俩次 Get 的握手请求,第一次请求服务端产生密钥写入session,session 和当前会话绑定。不同的客户端的密钥也是不同的,第二次请求是为了获取 key。此时的eaf815fcc1dd7afb就为解密代码的 key.

解码后发现还有一层,再次解码。

也可以写一个python脚本自动跑解码,但是我不会。

参考文章:http://t.csdnimg.cn/1aXBH

10.冰蝎3.0

11.sqlmap

过滤一下http包,一上来就看见常威在打来福。

静态分析:

sqlmap流量最明显的特证就是User-agent。

如果不做任何掩饰,一般都是这个。

12.nmap

Nmap对于端口6种状态的定义
这6种状态的定义只存在于namp中,不能保证一定是准确的。为什么介绍nmap因为它对端口划分的粒度可以说是最细的,对渗透和安全审计人员来说具有较高的参考价值。

Open(端口处于开放状态)这种状态可以理解为该端口上有服务正在进行监听,所以它需要开放这个端口用来建立连接或是数据传输。对黑客和系统管理员来说这样的端口都是重点关注的对象。

Closed(端口处于关闭状态)这种状态只能证明该端口上没有服务在监听,但这个端口我们其实是可以访问到的,并且它随时有可能进入到开放的状态

Filtered(被过滤的)这种状态一般就是发出的报文无法到达目的主机的端口,往往都是中间防火墙或者各种包过滤的应用进行了拦截或者流量的筛选。此时nmap无法确定端口的具体状态,如果能绕过防火墙之类的安全设备再次进行探测说不定会有收获。

Unfiltered(未被过滤的)这种状态可以理解为此时发出的报文实际是到达了目的主机端口的,但仅仅通过返回的报文nmap无法判断这个端口是否处于开放的状态。只有用于映射防火墙规则集的ACK扫描才会把端口分类到这种状态。 用其它类型的扫描如窗口扫描,SYN扫描,或者FIN扫描来
扫描未被过滤的端口可以帮助确定 端口是否开放

Open | Filtered (开放或被过滤的)当无法确定端口是开放还是被过滤的,Nmap就把该端口划分成 这种状态。开放的端口不响应就是其中一种情况。UDP,IP协议, FIN,Null,和Xmas扫描可能把端口归入此类

Closed | Filtered (关闭或者被过滤的)该状态用于Nmap不能确定端口是关闭的还是被过滤的。 它只可能出现在IPID Idle扫描中。

*

经典的SYN扫描(SYN,ACK,RST,ICMP)。

主要侦查语句:

tcp && ip.dst == [namp 扫描的 ip]

会检测到大量的tcp包对端口进行访问。

13.冰蝎4.0

参考连接:

http://t.csdnimg.cn/HVFd1

http://t.csdnimg.cn/hpYsG

发现很明显的冰蝎特征:

冰蝎默认长链接,并且冰蝎设置了10种User-Agent,每次连接shell时会随机选择一个进行使用。

14.哥斯拉

Accept-language和Pass=是哥斯拉一个很明显的流量特征。

连接时抓包发现哥斯拉建立连接时会发起三次请求。

第2个请求中已经自动带上了第1个请求中服务器响应返回的Cookie值,并且第2个请求中只有少量的数据,需要注意的是再 哥斯拉4.0 中即使使用的是 base64 加密流量中却是乱码,再之前版本中流量为 base64 字符串。

15.AS

蚁剑流量特征两大特征

        1、默认的 user-agent 请求头是 antsword xxx(可修改)

        2、蚁剑的正文内容用URL加密,解密后流量最中明显的特征为ini_set("display_errors","0");

蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以“0x加密后”“这种形式(下划可换》,所以以-0x开头的参数也很可能就是恶意流量。

是时候做出改变了z
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
wireshark取证案例学习笔记
corner55的博客
05-15 1191
有一封信引起了她的注意,它显然是垃圾邮件,但躲过了邮箱的邮件过滤。在等待引渡文件准备的时间里,你和你的团队继续密密地监控她的行为。没意思,张发财女士关掉了浏览器窗口,然后开始一天的工作。图片的md5不能另存为进行md5校验,可以使用压缩软件,当使用Winrar打开后会发现图片是单独的,解压出来,进行校验。你的任务是通过分析pcap文件,找出张发财女士点击了链接后,计算机系统发生了什么。幸运的是,在她消失之前,侦查人员一直在监视她的网络。你的任务是找出张小花发了什么邮件,她去了哪里,并还原一切线索。
DDCTF2018 流量分析
pondzhang的专栏
10-14 781
=E4=BD=A0=E5=A5=BD=EF=BC=8C=E8=AF=B7=E4=BD=A0=E5=B0=86=E5=AF=86=E9=92=A5=E5=AE=89=E8=A3=85=E5=88=B0=E6=9C=8D=E5=8A=A1=E5=99=A8=E4=B8=8A=E3=80=82=E8=B0=A2=E8=B0=A2 解码为“你好,请你将密钥安装到服务器上。谢谢” 获得privatekey为 -----BEGIN RSA PRIVATE KEY----- MIICXAIBAAKBgQDCm6vZm
Wireshark学习笔记(二)取证分析案例详解
Zichel77的博客
06-10 2777
Wireshark信息流量分析实战
Wireshark使用及例分析
weixin_54704770的博客
09-03 261
为课堂使用的数据包。
Wireshark流量分析
求大佬师傅带
08-23 2616
Wireshark流量分析
2021年云南省职工职业技能大赛CTF流量分析wireshark)WriteUp
weixin_43137410的博客
10-09 4193
2021年云南省职工职业技能大赛CTF流量分析wireshark)WriteUp .0x00 前言 本人作为业余爱好者参加了2021年云南省职工职业技能大赛的网络安全比赛,比赛形式以CTF+理论考核+模拟渗透的形式,今天分享一流量分析的解过程。 0x01 目分析 目名很直接,就叫wireshark,将压缩文件解压之后是一张名为“target.jpeg”的图片。 0x02 解析图片 目标明确,直接上binwalk。 通过binwalk分析,图片内还藏有一个zip压缩文件,使用命令 binwal
中职网络安全2021年国赛Wireshark流量分析目+capture.pcapng数据包文件
09-15
中职网络安全2021年国赛Wireshark流量分析目+capture.pcapng数据包文件
WireShark 网络流量分析抓包工具
09-06
Wireshark(前称Ethereal)是一个网络封包分析软件。 wireshark的特点是开源, 免费,跨平台,同时图形话界面,使用起来还是十分方便的。
wireshark流量分析
02-27
wireshark流量分析
流量分析工具Wireshark32.zip
05-28
流量分析工具Wireshark32.zip
Wireshark流量分析
xk2844600795的博客
08-30 221
简述流量分析网络流量分析是记录和分析网络流量以出于性能、安全性、网络操作、管理和排障为目的分析网络流量的过程。它是使用自动技术检查网络流量中的详细级别细节和统计信息的过程。为了更好的去体会流量分析,我们使用wireshark来进行演示,演示的例请自提提取码:hrc4。
[CTF]wireshark流量分析-flag明文
Luistin的博客
01-11 922
1.打开文件 ctrl+F搜索分组字节流的字符串:flag{3.右键flag,点击显示出分组字节可复制粘贴。
流量分析-Wireshark -操作手册(不能说最全,只能说更全)
热门推荐
路baby的博客
03-22 1万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据包筛选 顶峰相见
wireshark 流量抓包例
m0_62277259的博客
09-01 1881
过滤后可以看到两个出现次数比较多的ip,202.1.1.2和192.168.1.8,可以看到202.1.1.2对192.168.1.8进行了攻击。要找到数据库名的话,我们最好去最后那几条去找,看到url中如果包含schema关键字,那大概率就是数据库名。分析后发现仍在尝试SQL注入,注入工具sqlmap,注入点为list[select]可以看到数据库为MariaDB,已经报错,而且表前缀为ajtuc_1.黑客攻击的第一个受害主机的网卡IP地址。1.黑客攻击的第一个受害主机的网卡IP地址。
wireshark 二次开发
最新发布
weixin_45939263的博客
06-03 298
2、 准备Visual C++要编译wireshark,开发电脑上应该安装了Visual Studio并包括了Visual C++,请至少安装Visual Studio 2010以减少不必要的麻烦。1、点击新建→项目2、语言我们选择C++,同时选中下面的空项3、右键 点击添加→新建项 选择C++文件(.cpp)
tcpdump抓包,抓包导出.pcap文件用wireshark
Mr_wilson_liu的博客
05-28 377
tcpdump -i any host 设备的ip。
【安装笔记-20240529-Windows-Wireshark 网络协议分析工具】
David唐辉的博客
05-29 398
本文记录在 Windows 环境下安装运行 Wireshark 抓包工具的步骤。实验使用的电脑如下:世界上最受欢迎的网络协议分析器。本文介绍了在 Windows 上安装运行 Wireshark 抓包工具的步骤。
android studioapp我的页面设计
11-17
为了设计一个漂亮的Android为了设计一个漂亮的Android Studio App“我的”页面,你可以考虑以下几个步骤: Studio App“我的”页面,你可以考虑以下几个方面: 1.设计页面布局:你可以使用LinearLayout、RelativeLayout或Constraint1.页面布局:你可以使用LinearLayout、RelativeLayout或者ConstraintLayout等布局来设计你的页面。你需要考虑页面中包含哪些元素,例如头像、用户名、个人信息、设置选项等,Layout等布局方式来设计你的页面。在布局中,你需要考虑页面元素的大小、位置和排列方式,以及不同元素之间的间距和对齐方式并将它们放置在合适的位置。 2.添加控件:你可以使用TextView、ImageView、Button等控件来添加页面。 2.页面元素:你可以在页面中添加各种元素,例如TextView、ImageView、Button等。元素。例如,你可以使用ImageView来添加头像,使用TextView来添加用户名和个人信息,使用Button来添加设置你需要考虑元素的大小、颜色、字体、图标等,以及它们之间的排列方式和交互方式。 3.页面样式:你可以使用不同的样式来设计选项等。 3.设置控件属性:你可以设置控件的属性来改变它们的外观和行为。例如,你可以设置TextView的字体、你的页面,例如Material Design、Flat Design等。你需要考虑页面的整体风格和色彩搭配,颜色和大小,设置ImageView的大小和形状,设置Button的背景颜色和点击事件等。 4.添加交互功能:你可以使用Java代码来添加交互功能。例如,你可以使用setOnClickListener()方法来为Button添加点击事件,以及不同元素之间的协调性和一致性。 4.页面功能:你可以在页面中添加各种功能,例如个人信息、设置、消息通知等。使用setText()方法来改变TextView的文本内容,使用setBackgroundColor()方法来改变LinearLayout你需要考虑功能的实用性和易用性,以及它们之间的逻辑关系和交互方式。 下面是一个简单的Android Studio App的背景颜色等。 下面是一个简单的示例代码,它演示了如何使用LinearLayout、TextView和Button来设计“我的”页面设计示例,你可以参考一下: ```xml一个“我的”页面,并为Button添加了点击事件: ```java //<LinearLayout 在 Activity android中:添加以下layout代码_width ="LinearLayoutmatch_parent layout =" findViewById android(R:.id.mylayout_height_layout); ="TextViewmatch name_parent" androidView = findViewById:(R.idorientation.name="vertical_view); "> Button settingButton <ImageView = findViewById android(R:.idlayout.setting_button_width); //=" 设置100dp" TextView 的文 android:本内容layout_height name="View100.setTextdp("" John Smith android:"); src="@drawable///avatar " 为Button android添加:点击事件layout_gravity setting="Buttoncenter.setOnClickListener(new View.OnClickListener_horizontal()" { android @:Overridelayout _margin Top=" public50 voiddp onClick(View"/> v ) { <TextView // android 处:理layout点击_width="事件 wrap_content Toast" .makeText(getApplicationContext android:(), "layoutSetting_height clicked="wrap",_content Toast.LENGTH_SHORT" ).show android:text(); ="用户名 " } }); android:textSize```="20sp" android:textColor="#000000" android:layout_gravity="center_horizontal" android:layout_marginTop="20dp"/> <Button android:layout_width="match_parent" android:layout_height="wrap_content" android:text="个人信息" android:textSize="16sp" android:textColor="#FFFFFF" android:background="#FF04EDC9" android:layout_marginTop="50dp"/> <Button android:layout_width="match_parent" android:layout_height="wrap_content" android:text="设置" android:textSize="16sp" android:textColor="#FFFFFF" android:background="#FF04EDC9" android:layout_marginTop="20dp"/> <Button android:layout_width="match_parent" android:layout_height="wrap_content" android:text="消息通知" android:textSize="16sp" android:textColor="#FFFFFF" android:background="#FF04EDC9" android:layout_marginTop="20dp"/> </LinearLayout> ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值