你可能没见过的流量取证

最新推荐文章于 2024-05-28 15:44:23 发布
最新推荐文章于 2024-05-28 15:44:23 发布
阅读量736 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/88753329
版权

本人首发于freebuf

0x01前言
还有半年就毕业了,这段时间看自己的小本本,整理出之前练习过的一些经典的CTF题目,希望现在的萌新能通过练习这些题目事半功倍,更好地提升技术水平。本文包括一共4个题目,是流量取证方向,针对的是CTF中比较少见的一些协议,比如键盘、鼠标、无线、蓝牙、自定义的私有协议等等。
0x02
2016年谷歌CTF一道200分的题目,针对的是USB鼠标的流量分析。这类题目在这几年不时被国内的出题人借鉴,不过本质还是掌握了几条关键的命令,之后都能秒flag,慢慢地就没有什么新意了。但是初学wireshark或者流量分析的萌新而言还是比较有意思的。
题目只给了数据包没有其他提示
在这里插入图片描述
使用wireshark打开可以看到都是usb协议
在这里插入图片描述
在第86条可以看到device descriptor
在这里插入图片描述
展开查看细节会发现这是罗技的一款鼠标
在这里插入图片描述
从第98条开始往下可以看到“USB Interrupt”并且这些数据包具有一些数据
在这里插入图片描述
我们推测这是鼠标移动过程中,通过中断获取位置信息,怎么判断出是位置信息呢?
看下面几张连续的图就明白了
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述在这里插入图片描述

我们知道采集二维的数据,只需x,y坐标就可以了,上面的几张截图都是x,y交替着采集,至于数据,则在leftover capture data中变化着。
使用tshark从pcap-ng文件中提取了鼠标的数据
数据量比较大,看最后10行稍微验证一下
在这里插入图片描述
观察数据的变化,推测第二个、第三个字节即坐标变化,所以使用awk命令将其转换为坐标
在这里插入图片描述
查看后10行转换出的数据
在这里插入图片描述
有了数据之后就可以使用GnuPlot来绘图了
导入坐标所在的文件即可
在这里插入图片描述
生成的图像可以看到CTF字样,不过不太正常
在这里插入图片描述
镜像变化下即可
变化后得到flag

0x03
HackIT 2017的一道题目,也是考USB的一道题目,不过这次是针对键盘的,而且结题需要参考USB键盘编码解码的规范,算是在流量取证的基础上加上了对新知识的获取、分析、利用的能力,以及考察快速编写脚本的能力。
使用wireshark打开数据包,发现还是一道USB的题
在这里插入图片描述
在第287条可以推测出这是采集键盘输入的数据
在这里插入图片描述
该文件非常小,大多数是对按键进行编码的USB_INTERRUPT事件。
在这里插入图片描述
和上一题类似的思路,可以先把Leftover Capture Data提取出来
在这里插入图片描述
使用下图的命令
在这里插入图片描述
得到的数据类似下图
在这里插入图片描述
这些数据该如何解析呢?
查阅USB规范,下图的表格向我们展示了如何解码各个键
在这里插入图片描述
从图中可以知道A被编码为0x04,,以此类推
知道了编码规律之后就可以写脚本了
在这里插入图片描述
在这里插入图片描述
输出的结果可能会有多种排列,在其中找到flag就可以了
在这里插入图片描述

0x04
su-ctf 2016的一道题目,题目本身并不难,但是做习惯了TCP的protocol的题目后碰到802.11可能会有些懵,其实本质都是一样的,拿到flag要求能够意识到802.11无线协议的关键-路由器,进一步进行文件导出、解密等,这道题目还有种解法是使用aircrack进行破解,有兴趣的童鞋可以自行尝试。典型处理方法如下:
同样,先使用wireshark打开数据包,看到很多TP-LINk的流量,推测这是无线流量
在这里插入图片描述
802.11不是很熟悉,不如先过滤出tcp协议来分析
在这里插入图片描述
选中一条tcp的,然后跟踪tcp流,可以看到通过GET命令请求名为rom-0的文件,左上角导出http对象保存即得到rom-0
在上面的图中注意到特殊字符串Hdbgarea
搜索引擎查一下
在这里插入图片描述
第一条和路由器相关
在这里插入图片描述
点击下载链接下载后即可使用
在这里插入图片描述
解密后得到密码为Rome4040
在wireshark中,依次Edit->Preferences->Protocols->IEEE 802.11 -> Decryption Keys -> New -> WPA-PWD,输入密码
在这里插入图片描述
点击ok后,有很多数据流就被解密
在这里插入图片描述
有很多GET,但是只有一个POST,去看看这个POST
在这里插入图片描述
在报文里就找到了flag

0x05
HITCON 2018的一道题目,这道题目比较新颖,而且有趣,容易把赛棍往弯路上个带,会花大量时间尝试隐写这一块的技术,dd、stego,binwalk,foremost等往上怼,后来才意识到题目考察的自定义的私有协议,非常有特点,算是考察到了流量分析的本质,而且考察选手的读写代码能力,对选手综合素质要求比较高。
题目给的是一个压缩文件
解压
在这里插入图片描述
解压后得到两个文件
图片长这样
在这里插入图片描述
还有个pklg文件,可以使用wireshark打开
在这里插入图片描述
pcap显示蓝牙流量,wireshark识别出了HCI_EVT、RFCOMM等协议。
等没听说过,咋整啊
最开始解压拿到图片的时候,按照隐写术的办法分析,什么都没找到,现在再次回过头来,看到了”lego”,emmm,乐高积木,不像提示,EV3?去搜索引擎查一下
在这里插入图片描述
第一条就很符合题意~
再加上关键词wireshark试试
在这里插入图片描述
第一条是github上的一个工具~
赛棍的多年经验告诉我们,这可能是用于帮助wireshark解析某些私有协议用的一个工具
看人家的描述果然如此
在这里插入图片描述
按照说明,通过命令行相应加载解析器,然后使用wireshark打开之前的数据包
在这里插入图片描述
此时再用ev3进行过滤
在这里插入图片描述
EV3的报文如下
在这里插入图片描述
有好几个参数,这些参数代表什么意思呢?由于这是一个私有协议,我们需要去实现它的源码里去找定义
还记得第一次搜索引擎找到的mindstorm吗,在源码里我们找到
在这里插入图片描述
现在我们知道了第二个参数是x坐标,第三个是y坐标,第四个是我们的字符。 那么我们就可以一条条地根据这个跟着解析信息了,刀耕火种太慢,直接上脚本吧
在此之前需要把数据导出为json格式
在这里插入图片描述
关键片段,按照参数定义进行解析
在这里插入图片描述
运行即得到flag了
在这里插入图片描述

0x06后记
在CTF比赛中划水划了两年,也就在萌新前打肿脸充胖子,本文主要面向萌新以及对流量取证感兴趣的师傅们,望各位大佬轻喷。

Elwood Ying
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络安全应急响应工具之-流量安全取证NetworkMiner
村中少年的专栏
12-29 2239
通过具体的数据流量介绍网络流量取证分析工具NetworkMiner的主要功能,为网络安全分析师,网络安全运营人员,网络安全应急响应人员提供趁手的工具
wireshark流量取证方法
luckc7的博客
11-16 488
熟悉wireshark流量取证方法
流量分析、取证
xxfsa的博客
12-06 477
筛选地址usb.addr==2.8.1 usb.addr==2.10.1 分别导出特定分组。得到的2.8.1.txt结尾处多一个空行,键盘流量脚本跑完得到的结果多一个字符。追踪TCP流发现flag.zip,其实可以直接kali foremost出来。wiresahrk打开流量包,直接usb.data_len==8筛选。发现压缩包有密码,接着追踪,在流7中找到password。得到2.8.1.pcapng 2.10.1pcapng。解密提取2.10.1.txt之后得到密码。解开压缩包得到flag。
CTF流量分析之型深度解析
最新发布
白帽子凯哥聊黑客
05-28 1249
其中第一个字节代表按键,当取0x00时,代表没有按键、为0x01时,代表按左键,为0x02时,代表当前按键为右键。pcap流量包的分析通常都是通过图形化的网络嗅探器——wireshark进行的,这款嗅探器经过众多开发者的不断完善,现在已经成为使用最为广泛的安全工具之一。最终提交的flag格式为flag。具体的键位映射关系可参考:《USB键盘协议中键码》中的HID Usage ID,链接:https://wenku.baidu.com/view/9050c3c3af45b307e971971e.html。
流量取证技术
weixin_43326436的博客
08-06 468
流量
CTF MISC 3压缩文件处理&4流量取证技术
m0_67837149的博客
07-24 286
CTF MISC 3压缩文件处理&4流量取证技术
通过流量取证对恶意软件进行动态行为分析
blackorbird的博客
09-04 425
通过流量取证对恶意软件进行动态行为分析链接:https://freddiebarrsmith.com/mastersthesis.pdf简介内容:主要目的...
流量取证 本人第一次接触 ,给大家分享 ,两套简单的试,我每一道都会仔细的解析过去(流量取证入门建议做!)
ntrybw的博客
08-09 887
/r/n"知道这是php一句话木马,并且黑客发送了phpinfo();308号数据包找到Form item: "tpl" = "data/Runtime/Logs/Home/21_08_07.log",但是问的是绝对路径,306号数据包。post有很多,第一张是挑选了包偏后面的记录,第二种是偏前面的,所以ID就有可能不一样,结合目,我们可以推断,经过黑客的绕过,所以后面那个10087是真正的ID。...
CTF——杂项3.流量取证技术
woo233的博客
09-09 2867
先用wireshark筛选http的流量,假如没有则筛选tcp的流量,因为getshell是在命令行中执行的,可以用tcp contains “command”在关注的http.数据包或tcp数据包中选择流汇聚,可以将HTTP流或TCP流汇 聚或还原成数据,在弹出的框中可以看到数据内容。在关注的http.数据包或cp数据包中选择流汇聚,可以将HTTP 流或TCP流汇聚或还原成数据,在弹出的框中可以看到数据内容。比如查看数据包的时候,有的数据包有某种特征,比如有http(80)。Data数据单独复制出来。
杂项的基本解思路——4、流量取证技术
_Co1a
10-31 1495
流量包文件分析 流量包就是说我向你传递的时候,把你传递过程中的数据抓取下来,保存成一个文件 流量取证技术就是说:目会给你一个流量包,你要在流量包里面找到相应的一些文件(有时候flag值就藏在流量包的某一个位置) ①wirkshark工具 查看自己的电脑有没有安装wireshark:win+R——》输入wireshark看能不能打开 kaliLinux自带了wireshark 利用wirkshark工具的过滤器功能 常用的过滤命令 1、 过滤IP 如过滤源IP或者目的IP ip.src eq x.x
有关流量分析和内存取证
xiao_xianyu123的博客
01-09 4859
1.流量分析   网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问。   CTF比赛中,通常比赛中会提供一个包含流量数据的 PCAP 文件,进行分析。 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可) 3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:usernam
wireshark数据包分析与取证web—流量分析
m0_74025111的博客
11-10 801
1.使用Wireshark查看并分析虚拟机windows10桌面下的web.pcap数据包,然后根据所得信息进行确定服务器上发起这些请求的源 IP 地址作为flag提交。提交格式flag{xxxxxxxxx}3.攻击者在我们的服务器上发现开放端口后,似乎试图枚举我们 Web 服务器上的目录和文件。4.在攻击者枚举 Web 服务器上的目录之后,攻击者发出了大量请求,试图识别管理界面。提交格式flag{xxxxxxxxx}其实目的意思就是去查看登录的指纹 flag{manager}
网络取证
Yale的博客
09-04 532
会话拼接是指攻击者把会话中的一个字符串剪切开来,分别塞入多个数据包里,以逃避NIDS/NIPS的模式匹配的手法 IRC是一种使用明文通信的协议,可以很容易检测、阻断被滥用的通信连接 分布式C&C的特点:冗余度,避免被检测出来(因为被感染的终端不会再直接被连接到中央服务器了),不对称 storm僵尸网络使用由受感染的主机组成的点对点网络,建立动态的通信信道,动态地改变更
CTF简单笔记
bmovo的博客
10-06 1636
CTF简单笔记: 远程开启kali桌面命令:sudo /etc/init.d/xrdp start CTF:①Misc:杂项 ②Crypto:密码安全 ③Web安全 ④Reverse:逆向工程 ⑤Pwn #杂项: 1、文件操作与隐写 2、图片隐写术 3、压缩文件处理 4、流量取证技术 1、文件操作与隐写 #命令就是一个对应的工具,只是这个工具没有对应的图形化界面而已 (1)、Fi...
ctf流量分析练习二
gclome的博客
09-06 3329
上次的流量分析做的我一个脑袋两个大!但是不能放弃啊,再找一些来练练手 0x01 经典型 CTF型主要分为流量包修复、WEB流量包分析、USB流量包分析和其他流量包分析。 01 流量包修复 比赛过程中有可能会出现通过wireshark打开目给的流量包后提示包异常的情况,如下图所示: 解思路: 通过在线pacp包修复工具进行修复: http://f00l.de/hacking/pcapfix.php 修复之后,再次打开 用tcp contains “flag”,找到了下面这句话: 于是乎,flag就在
Bugku CTF USB write up
m0_51721327的博客
02-29 252
Bugku 【USB】的write up
CTF之misc杂项解技巧总结(2)——流量分析
若谷的博客
12-22 1463
以前的POST方式是不支持传送文件的,对于普通的post来说,他的Content-type是application/x-www-from-urlencode,也就意味着消息的内容会被url编码,但是后来支持传送文件,将Content-type扩展为multipart/form-data,来向server发送二进制数据,并且还要用一个内容分隔符来分割数据,boundry. 同时chrome和ie的策略也有所不同,IE是传送完整的路径,而Chrome只传送文件名。难道是被加密的文件要用私钥来进行解密?
2019第五届美亚杯全国电子数据取证大赛团队赛wp
dazaogege的博客
10-16 2836
2019第五届美亚杯全国电子数据取证大赛团队赛wp
wireshark流量分析网络安全
夜思红尘的博客
04-18 3261
这是关于一篇wireshark分析数据包的文章,主要是网络安全里的应用,讲述了wireshark的使用方法,主要使用的事wrieshark里的追踪流,欢迎大家学习借鉴!
[DDCTF2018]流量分析
qq_48511129的博客
08-29 531
流量包中搜索 tcp contains “KEY” 追踪tcp流发现 解密后为 接着查看流量包,发现一张png图片。复制 进行解码图片 发现图片是一串字母 ORC在线识别:https://www.onlineocr.net/zh_hant/ 进行图片识别 可能会存在一些错误。自己对照字母看一遍 根据提示套上ssh私钥格式 -----BEGIN RSA PRIVATE KEY----- MIICXAIBAAKBgQDCm6vZmclJrVH1AAyGuCuSSZ8O+mIQiOUQCvN0HYbj815.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值