『CTF』一次曲折的流量分析,从零基础到精通,收藏这篇就够了!

最新推荐文章于 2025-07-16 13:47:37 发布
原创 最新推荐文章于 2025-07-16 13:47:37 发布 · 910 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #xss #网络 #csrf #安全

作者:YuKong

介绍:一次HTTPS流量分析和ntlmv2计算。

0x00 前言

你是一名安全防护人员,你发现有人成功入侵了公司的服务器,你查找有关的流量设备,发现了一个流量包文件,你认为它可能包含了一些重要的信息。但是当你打开它时,你发现它被加密了:你觉得这个文件可能被某种奇怪的系统加密过,你想要找出加密算法并解密出文件内容。

0x01 知识点介绍

1.1 HTTPS流量分析

工具:Wireshark

SSL (Secure Socket Layer)安全套接字层协议;TLS(Transport Layer Security)传输层安全协议。SSL/TLS是保护计算机网络通讯安全的一类加密协议,它们在传输层上给原先非安全的应用层协议提供加密保护,如非安全的HTTP协议即可被SSL/TLS保护形成安全的HTTPS协议。

使用Wireshark分析https流量通常分为两种。

(1)加载 pre-master-secret log文件

浏览器在访问https时会将与网站https建立连接后的会话私钥保存下来。在wireshark中,通过加载log文件可解密流量(流量包)中的HTTPS流量。

前提:通过某些信息提供一个SSL的私钥文件。

加载步骤:编辑 --> 首选项 --> 协议(protocols) --> TLS -->(Pre)-Master-Secret log filename --> log 文件

加载完成后,就可以看到解密后的SSL流量。

(2)加载服务端私钥

前提:通过某些信息提供一个SSL的私钥文件。

加载步骤:编辑 --> 首选项 --> 协议(protocols) --> TLS --> RSA keys list --> Editor

在这里导入私钥,为了防止私钥丢失被解开可以填入 password 为保存私钥时指定的加密密码。加载完成后,就可以看到解密后的SSL流量。

1.2 NTLM介绍

NTLM(New Technology LAN Manager)是一套Windows安全协议,被设计用于为用户提供包含完整性和机密性的身份验证技术。NTLM主要有NTLMv1NTLMv2NTLMv2 Session三个版本,最常见的是NTLMv2

NTLM 协议是一种基于 挑战(Chalenge)/响应(Response) 认证机制,仅支持Windows的网络认证协议。它主要分为协商、质询和验证三个步骤:

协商:这个是为了解决历史遗留问题,也就是为了向下兼容,双方先确定一下传输协议的版本等各种信息。

质询:这一步便是Challenge/Response认证机制的关键之处,下面会介绍这里的步骤。

验证:对质询的最后结果进行一个验证,验证通过后,即允许访问资源。

认证流程:

(1)发送协商请求(Negotiate)

客户端在访问受限服务时,需要输入相应的用户名和密码,此时客户端将其进行预处理和转换,得到一份NTLM Hash进行缓存(并不是直接哈希得到的);然后发送协商请求包,包含(NTLM Hash以及申请认证的服务信息等),记为TYPE 1。
(2)发送质询请求(Challenge)

服务端根据收到的协商请求包TYPE 1后,如果判断其中的用户名存在,那么就会生成一个16字节的随机值Challenge(NTLMv1为8字节);并结合支持的服务信息,生成一个质询请求包,包含(Challenge随机值以及支持的服务信息等),记为TYPE 2。

(3)发送认证响应(Authenticate)

客户端使用HMAC-MD5算法来对TYPE 2中的Challenge值进行消息摘要并得到NTLMv2 Response,并结合用户名、Challenge等生成Authenticate响应包,记为TYPE 3;具体来说,客户端将(1)中得到的NTLM HashTYPE 2中的Challenge等作为HMAC-MD5的输入,得到一个摘要值,即NTLMv2 Response

(4)服务端验证并应答(Reply)

服务端在收到TYPE 3后,根据用户名检索到缓存于本地的NTLM HashChallenge等传入HMAC-MD5,并将得到的数据和TYPE 3中的NTLMv2 Response进行比对,若相同则验证客户端身份成功,否则拒绝客户端的访问请求。

NTLMv2格式如下:

username::domain:challenge:HMAC‐MD5:blob

0x02 解题过程

2.1 分析流量,提取关键文件

(1)使用Wireshark打开流量包,发现流量中使用http请求传输了png图片。

(2)通过流量信息可以看到png图片中隐藏了压缩包,并且flag.txt 就在压缩包中。

(3)提取压缩包,解压需要密码。

2.2 加载log文件解密HTTPS流量

(1)同样在HTTP流量中还看到了关键密文。

(2)通过关键字可以搜索到这些密钥就是传输过程中留下的私钥。

(3)通过上文可知加载 pre-master-secret log文件可以解密SSL流量。

(4)可以看到解密后的流量。

(5)分析流量拿到关键数据。

username::domain:challenge:HMAC‐MD5:blob``admin::SecretServer:d158262017948de9:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx:010100000000000058b2da67cbe0d001c575cfa48d38bec50000000002001600450047004900540049004d002d00500043003100340001001600450047004900540049004d002d00500043003100340004001600650067006900740069006d002d00500043003100340003001600650067006900740069006d002d0050004300310034000700080058b2da67cbe0d0010600040002000000080030003000000000000000000000000030000065d85a4000a167cdbbf6eff657941f52bc9ee2745e11f10c61bb24db541165800a001000000000000000000000000000000000000900240063006900660073002f003100390032002e003100360038002e0031002e00310030003700000000000000000000000000

和上文NTLMv2格式一致,但是可以看到存在xxx的隐藏数据,对应值为HMAC‐MD5,猜测隐藏的HMAC‐MD5就是压缩包的密码。

2.3 计算HMAC‐MD5

参考文档:https://stackoverflow.com/questions/32272615/is-it-possible-to-convert-netmtlmv2-hash-to-ntlm-hash

(1)提取文中提到的代码

import hashlib, binascii, hmac` `   ``_ntlm = hashlib.new("md4", "123".encode("utf-16-le")).digest()``ntlm = binascii.hexlify(_ntlm)``server="tryPC".upper().encode("utf-16-le").encode("hex")` `firstHMAC = hmac.new(bytes.fromhex(ntlm), bytes.fromhex(server),hashlib.md5).hexdigest()``type2Challange = "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"``ntlmv2 = hmac.new(firstHMAC.decode("hex"),type2Challange.decode("hex"),hashlib.md5).hexdigest()``print(ntlmv2)

(2)根据流量中提供的数据修改代码

"123" 改为 "QUICAUTH-CCC123!@#"``"tryPC" 改为 "adminSecretServer"``type2Challange 为 challenge+blob``"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"



import hashlib``import binascii``import hmac``from Crypto.Hash import MD4``   ``# 生成 NTLM 哈希``md4_hasher = MD4.new()``md4_hasher.update("QUICAUTH-CCC123!@#".encode("utf-16-le"))``_ntlm = md4_hasher.digest()``ntlm = binascii.hexlify(_ntlm).decode('utf-8')``   ``# 将服务器名称编码为十六进制``server = "adminSecretServer".upper().encode("utf-16-le")``server_hex = binascii.hexlify(server).decode('utf-8')``   ``# 生成第一个 HMAC``firstHMAC = hmac.new(binascii.unhexlify(ntlm), binascii.unhexlify(server_hex), hashlib.md5).hexdigest()``   ``# type2Challange``type2Challange = "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"``   ``# 生成 NTLMv2 响应``ntlmv2 = hmac.new(binascii.unhexlify(firstHMAC), binascii.unhexlify(type2Challange), hashlib.md5).hexdigest()``print(ntlmv2)

efa243f442b9d683eb1b00a2b1a0c9fc

0x03 总结

在做这个题的过程中,因为之前没有遇到过类似的题花费了很长时间去计算HMAC-MD5的值,记录一下继续积累,希望下次不要这么菜了。

文章来源:宸极实验室

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文

END

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包,需要点击下方链接即可前往获取

读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)

👉1.成长路线图&学习规划👈

要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

在这里插入图片描述
在这里插入图片描述

👉2.网安入门到进阶视频教程👈

很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。(全套教程文末领取哈)
在这里插入图片描述

在这里插入图片描述

👉3.SRC&黑客文档👈

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍:

在这里插入图片描述

黑客资料由于是敏感资源,这里不能直接展示哦!(全套教程文末领取哈)

👉4.护网行动资料👈

其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!

在这里插入图片描述

👉5.黑客必读书单👈

在这里插入图片描述

👉6.网络安全岗面试题合集👈

当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
在这里插入图片描述
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~

读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)

流量分析ctf
m0_53067332的博客
01-10 8973
题目介绍 该题为流量分析,当黑客入侵我们的网络是,我们可以需要通过一系列分析操作来进行抓捕与追踪,本题目难度中等偏下,不是很有难度,但题目类型较为全面,适合入手当做练习。 一、题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某
CTF流量分析1
qq_45766280的博客
08-26 1093
流量分析1题解:总结 仅作为学习笔记使用 题目:Q3.pcap 题解: 先在wireshark里看一下 有HTTP先看HTTP,直接在过滤器中选择HTTP 这些包就有意思了,这些请求有些想目录扫描在不断的请求,而大部分的回应都是404,那么我们暂时推断会有访问成功的,往后面找找吧。 这两个语句成功通过了,那我们来详细分析分析这两个包。追踪流->HTTP GET /?c=print_r(gzcompress(file_get_contents(base64_decode(%22aW5kZXguc
网络安全必看流量分析经典解析----10道CTF题我是怎么完成的
最新发布
shandongjiushen的博客
07-16 919
某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题。这明显就有问题,如果说一个正常的网站,images下放的是图片,但这里放了一个a.php很让人怀疑是一句话木马,而且啊,在老师的教学中,为了方便起文件直接a.php或者b.php等,所以怀疑这里大概率是有问题了,我们对其中一个进行tcp追踪。
CTF--Misc--流量分析
weixin_53425135的博客
10-06 3711
网络流量包流转于各个环节,我们可以通过捕捉网络中流动的数据包,然后查看流量包内部的数据以及相关协议,流量分析、统计等等。一般情况下,捕捉到数据包可以通过过滤规则得到我们想要的有用的信息,也更好的方便我们进行查找关键信息,提高效率。在计算机网络中传输层协议最常见的是TCP协议,我们可以通过对TCP数据流的追踪与分析。以buuctf–被劫持的礼物为例子,进行正常的过滤、tcp数据追踪得到。功能:可以很直观的看到流量包的大致情况,以及快速定位到需要分析的地方。流量包不是普通的网络流量包,是其它类型的流量包。
渗透测试CTF-流量分析
保持微笑的博客
11-03 4527
渗透测试CTF-流量分析
CTF 流量包相关-流量分析(1)
qq_56815564的博客
04-28 1万+
前面的flag不论是直接给你明文,还是有一定的编码,都是比较简单的,像这些十成甚至九成都会是签到题,所以了解一下知道有这种情况就好,重点不再这边另外这里还是给出一下风佬的脚本吧,虽然我感觉用到的几率应该不会很大,如果要用的话,那个破空查flag的工具应该会比较好用,下载的话,风佬的git里面应该有,这里就不给了。
CTF-MISC-流量分析解题思路汇总(一)
12-11
CTF(Capture The Flag)是一种网络安全竞赛,其中MISC(杂项)类别常常包含了流量分析等需要综合运用网络知识和分析技巧的题目。流量分析是指通过观察和分析网络中传输的数据包来获取信息,这在网络安全领域尤为...
【建议收藏CTF网络安全夺旗赛刷题指南(非常详细)零基础入门到精通收藏这一
abao6690的博客
07-27 2333
【建议收藏CTF网络安全夺旗赛刷题指南(非常详细)零基础入门到精通收藏这一
CTF指南--隐写术总结(非常详细)从零基础入门到精通,看完这一了_ctf 图片隐写光学成像
2401_86044342的博客
08-27 2489
binwalkBinwalk是一个固件的分析工具,多用于逆向工程、取证、隐写分析。更多…$ binwalk firmware.bin //最简单的操作$ binwalk --enable-plugin=zlib firmware.bin //有些签名无法识别,利用zlib插件扫描zlib压缩包可识别$ binwalk -y filesystem firmware.bin //指定字符串“filesystem”搜索(正则),-Y 输出结果只包含文本字符串。
CTF-Misc实战技巧:从入门到精通的完整指南
06-03
CTF竞赛中的Miscellaneous(杂项)题目是考察选手综合安全技能的重要环节,涉及隐写术、编码分析、流量分析等多种技术。本文将系统介绍CTF-Misc类题目的解题思路和实用技巧,帮助安全爱好者提升实战能力。 --- CTF-...
[DDCTF2018]流量分析
qq_48511129的博客
08-29 840
在流量包中搜索 tcp contains “KEY” 追踪tcp流发现 解密后为 接着查看流量包,发现一张png图片。复制 进行解码图片 发现图片是一串字母 ORC在线识别:https://www.onlineocr.net/zh_hant/ 进行图片识别 可能会存在一些错误。自己对照字母看一遍 根据提示套上ssh私钥格式 -----BEGIN RSA PRIVATE KEY----- MIICXAIBAAKBgQDCm6vZmclJrVH1AAyGuCuSSZ8O+mIQiOUQCvN0HYbj815.
ctf流量分析
热门推荐
xixixi
08-25 3万+
例题记录 用wireshark打开流量包 找到三次握手之后的http包 User-Agent里面有多个浏览器的名字,并且存在AppleWebkit,所以该攻击者利用了awvs扫描 awvs数据包判断标准:User-Agent里面有多个浏览器且存在AppleWebkit ...
CTF流量分析
shy的博客
06-05 2万+
CTF杂项中存在一种题型——流量分析,主要是给你一个流量包,让你分析获取其中的flag的值。 有5种方式,可以直接查找flag。 1、直接搜索 2、使用notepad++等软件,直接打开流量包,搜索关键字 3、编写python脚本 #encoding:utf-8 #用二进制方式读取文件 file=open("networking.pcap","rb") #读取文件内容 i=file.read() #查找字段 a1=i.find("flag{") a2=i.find("}",a1) #将查
CTF竞赛——流量分析
mxy_yl的博客
06-30 486
①统计HTTP请求,看看是否有可疑文件,如果有例如php包,过滤HTTP找到php的发送包,然后追踪tcp流。②导出HTTP对象,看看是否能输出什么信息,或者有什么数字和字符是能串成一串或者对大小排序。③搜索得到的包里面的信息加入xinxi.php,可以先过滤http,再搜索xinxi字符串。查看协议分级,占比最多的就是HTTP协议,而且观察HTTP包似乎有test.txt文件。一直改变左上角的数字,追踪TCP流,当追踪到第20个时,查看到信息RSA加密密钥。3.2攻防世界:心仪的公司。
【2025版】最新渗透测试CTF-流量分析,从零基础精通收藏了!
Libra1313的博客
02-20 1366
tcp 连接,再是 FTP 传输,应该是一个在传输某些文档的流量包,推测 flag 应该 和传输的文档有关。这也是耗费了大白近四个月的时间,吐血整理,文章非常非常长,觉得有用的话,希望粉丝朋友帮忙点个**「分享」流量包为多个带range头部发送的http报文,所以都是部分回显,把所有的部分回显按照时间顺序拼接即可。分别打开这几个文件,拼接里面的内容就是最终的flag ,结果为flag{17uaji1l}下载附件,解压后是个流量包,直接 Wireshark 打开,查找 flag 无果。
ctf流量分析学习
一大口木的博客
11-13 3047
链接:https://pan.baidu.com/s/1e3ZcfioIOmebbUs-xGRnUA?pwd=9jmc提取码:9jmc前几道比较简单,是经常见、常考到的类型。
CTF流量分析:从入门到精通
qq_33295410的博客
02-27 1万+
CTF(Capture The Flag)是一种网络安全竞赛,其中流量分析是一种常见的题型。流量分析就是通过分析网络流量包,提取出有用的信息,如密码、密钥、文件、flag等。流量分析需要掌握一些基本的网络协议知识,以及一些常用的工具和技巧。本文将介绍流量分析的基本概念,常见的题型和解题方法,以及一些实战案例,帮助你从入门到精通流量分析
【2025版】最新渗透测试CTF-流量分析,从零基础精通收藏了!_ctf渗透测试
yy1715713348的博客
02-25 826
工具:wireshark我们这里以三道CTF题目为例,开始讲解。下载流量包,打开wireshark流量包为多个带range头部发送的http报文,所以都是部分回显,把所有的部分回显按照时间顺序拼接即可分别打开这几个文件,拼接里面的内容就是最终的flag ,结果为flag{17uaji1l}下载压缩包解压后发现为流量包,打开分析tcp 连接,再是 FTP 传输,应该是一个在传输某些文档的流量包,推测 flag 应该 和传输的文档有关。搜索flag,未发现什么搜索ftp-data。可以看到传输数据。
CTF中的网络流量分析:工具、技术与实战案例
weixin_65409651的博客
08-26 2139
网络流量分析是一项通过捕获和检查网络数据包来解析网络活动的技术。分析者可以识别网络中的恶意活动、异常行为或数据泄露等问题。网络流量分析CTF竞赛中常用于重建网络攻击过程、提取敏感数据、识别命令与控制(C2)通信等任务。
CTF MISC挑战:流量分析揭露数据库登录流程
MISC类型问题的解决通常需要综合多种技能,从数据分析到逻辑推理不一而足。 压缩包子文件中的.pcapng文件是一个网络流量捕获文件的格式,PCAP Next Generation (PCAPNG) 是对传统PCAP格式的改进。Pcapng文件用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值