【ctf】whireshark流量分析之tcp_杂篇

目录

简介

常考

图片类

提取png.pcap(常规)

异常的流量分析(*,特殊)

john-in-the-middle(特殊)

​编辑

zip类

1.pcap(常规)

方法1(常规提取压缩包)

方法2(foremost,但是很多时候会失败)

modbosreverse(有点难)

a547dd9a(含音频杂项,含tls,含ftp协议)——好题

hardhacker(rar压缩包,不常考)没成功

工控协议数据分析(*)



简介

tcp篇我觉得一般有两个类

杂篇:流量分析与misc结合,这类题比较常见。我想也可能是为什么流量分析被归为杂项的原因之一。

web篇:分别是流量分析于web结合,也就是抓的web的包,这类比较难,需要真正的分析流量,当然做多了就简单了。

注意:题目是我搜刮来的,你在网上不一定搜得到原题


 ips:*表示可以在网上搜到的题

常考

图片类

这类是流量分析与图片结合的杂项题,难一点就是图片的提取,再者就是图片提取出来后,图片类隐写。这么看来也没什么难的,就是靠点综合一点。

提取png.pcap(常规)

这个名字是我自己取的,主要是为了找的时候方便,比赛的时候肯定不会提示

查看协议都有啥

tcp比较多,可能流里面藏东西了(其实比赛的时候我都不看这个协议分级的,就几种可能,先搜flag,没出,就试试其他的,就几种可能,试过来完还不出,就直接放弃吧)

查了一下,有个flag.png

追踪一下流,发现就3个流,在第三个流中有png图片头的表示

tips:流是从0开始数的

找好文件头89504e7,然后变成原始数据进行复制比较稳

直接复制到这里就行,我当时还以为必须复制到文件尾呢,想了想才发现,不需要

然后放到一个文本里

打开用010

将数据导进去

ctrl+s保存为1.png

得到flag,用工具提取出来就行


异常的流量分析(*,特殊)

分析不出啥,ctrl+f?导一下?formoste分离?strings?

流也只有三个,也没什么可以用信息,就第三个流看着像密码,要是比赛,建议大家记一下,也有可能是flag,谁知道呢

穷途末路了,默默的去看了一眼题解。。。。

然后就我就开始表演了

发现被base64加密的图片

复制出来解密,随波逐流一导

然后用工具吧flag提取出来就行

flag{4eSyVERxvt70}

或者删掉前面的头和尾后面的换行符

cyberchef这个工具


john-in-the-middle(特殊)

基本全是http,直接开导

flag不能直接发现

答案就是这个有小旗子的图片(flag就是旗帜的意思)

是png隐写

找张看的清楚的,直接抄下来吧

这里就会有个疑问了

为什么提取png.pcap的时候,为什么里面的那个图片不能直接提取出来,为什么john-in-the-middle这道题可以提取到图片呢?他们不都是在数据里面传输吗?

因为png.pcap这道题没有http协议呀,打出选项里面,只有这几种

最常用的就是http,其他的我都没用过(个人感觉就ftp可能会用,刚好有道ftp的题,回来一起看看)


zip类

压缩包类的题一般藏的地方就再流里面,可能会被拆分,你需要合并起来,但是在流里面,一定能找到。难一点的就是压缩包的密码不好找,密码藏的地方就多了,但是做多了,就简单了。

1.pcap(常规)

这道题是流量分析与压缩包结合的,最常见的题

方法1(常规提取压缩包)

这样可能会失败

用另一种方法,原始数据一般很稳

flag{91e02cd2b8621d0c05197f645668c5c4}

方法2(foremost,但是很多时候会失败)

虽然会失败,但是可以快速检测是否有压缩包啊,图片啊什么的

这次也失败了,因为里面的东西太杂,分离的时候,混到一起了

你用linux里面的foremost一样,我有windows,更快

linux的命令是

foremost 1.pcap

里面有个压缩包,不能用

原因嘛就是因为这个(我用一个正确的压缩包和他对比,你看看)

上面的是正确的压缩包,下面的是foremost提取的,可以看出倒中间的时候就开始不对了,所以解压不出来也正常


modbosreverse(有点难)

这道题是前几天刚比赛出的题,题目名字看着像逆向

但是我印象里面modbus协议大多是流量分析,我放linux里面file了一下

果然是流量分析,修改后缀打开

这是工业的流量分析,有点难,但是简单的考点就是浏览一遍,就208个包

你就会发现,里面有压缩包

其实ctrl+f搜索flag也能搜到

现在提取压缩包

仔细观察发现压缩包是分成了三段,头是504b0304

我们看第一个103这个流

两个提取方法(我已经提过6遍了,想吐,前几次没成功还是因为没注意有第三个包)

或者

反正,最后增增减减,得到了zip,结果需要密码

追踪流,一般密码就在流里面

你会发现只有一个流,根据经验,密码大多就藏在流里面,看的出好像有点规律的样子

然后就对这些流的内容做处理,得到

但是爆破出的答案是kQsuZjg2iXHPJDfCmHZQ4crFby4SAWgV

需要去掉前后的[和],这一题很狗

去尾用这个.?$

爆破出kQsuZjg2iXHPJDfCmHZQ4crFby4SAWgV

还加密了,用python逆过来,不会用的用puzz也行

a='=0HNql2awEDNx0WO0AjNspGa4s2aplmMxgzN3kzM2ETOstnboNXb'
print(a[::-1])

凯撒加密了

mshn{l9163977812iikk8hjl6049m1410kij4}

flag{e9163977812bbdd8ace6049f1410dbc4}


a547dd9a(含音频杂项,含tls,含ftp协议)——好题

做这一题之前,给大家科普一下

https中的s可以理解为安全的意思,本身的意思就是tls的意思,相当于加了一层保护,如果像得到机密的传输流(不解密的话,看着是乱码),需要找到key,然后倒入wireshark中的tls里面

看见tls了吧,被加密了

找加密的key,key一般就长这样,在第58个流里面可以找到

导出来,另存为

找首选项

点ok

因为看见了ftp协议,导出来

可以看见flag.zip,要密码

在流里面着了几个很像的,但是不是,最后在导出http中找到

发现一个大的异常的文件(图片我已经看过了,都是gif,没什么东西)

你们保存出来,我这边不知道为什么保存不出来,就只能手动导出来了

复制粘贴一下原始数据,哦对了,我追踪的是http流,其实都差不多

找到压缩包头,复制到文件尾

保存后,打开010

导进去

得到压缩包,里面是个音频

用Audacity打开,选择这个,点击波形图

查看波形图

放大,发现密码,电脑死机了,没展开完

得出密码为

AaaAaaaAAaaaAAaaaaaaAAAAAaaaaaaa!

解密得

flag{4sun0_y0zora_sh0ka1h@n__#>>_<<#}


hardhacker(rar压缩包,不常考)没成功

先记一下文件头

题目(不完整):

攻击者使用webshell管理工具下载了某个文件,找出文件,密码为攻击者取款密码(到这一步咱就停就行了),最后巴拉巴拉,需要找江萌的所有金额
找压缩包
根据长度排序即可,一般来说最长的数据包就是传输文件
但是这一题所要解压的压缩包不是他,这就很鸡肋,好几个压缩包呢
我们解压的是这个
然后就发现了rar头,我们转换成原始数据,从52617221开始提取到最后(其实最后也有7位蚁剑产生的随机数,两个16进制为一位)
尾一直到最后,然后我们再去删一下
然后倒入文件
还加密了
根据提示,密码为攻击者取款密码,取款密码通常为 6 位,所以直接使用 passware 开始爆破 6 位数字 

不知道归为哪一类,但是也算比较常考的类型,没收集那么多,先写到这里,回来再补

工控协议数据分析(*)

还是工业的题,这道属于中稍微简单的题,通过这道题,能学习到tshark的另一个功能

s7协议经常把信息隐藏在data位置,或者就在wirte var这个“写”包里。

第48个包左右就可以看见了,而且总共也就180个包,很少

我们提取data位的数据,开始构造thark语句

-e "s7comm.resp.data",这个是我要提取的数据

-Y "frame[51:10] == 32:01:00:00:00:01:00:0e:00:08"这个是我们要过滤的条件,以防提取的时候掺杂其他东西

所以就是

tshark.exe -r s7.pcap -Y "frame[51:10] == 32:0
1:00:00:00:01:00:0e:00:08" -T fields -e "s7comm.resp.data"

01100110
01101100
01100001
01100111
01111011
01100110
01101100
01100001
01100111
01011111
01101001
01110011
01011111
01101000
01100101
01110010
01100101
01111101

二进制解码是

少了一个f,问题不大

flag{flag_is_here}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/268706.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

绝地求生电脑版的最低配置要求?

绝地求生&#xff08;PlayerUnknowns Battlegrounds&#xff09;是一款非常热门的战术竞技游戏&#xff0c;它在全球范围内有着大量的玩家。为了让更多的玩家能够顺畅地体验这款游戏&#xff0c;下面将介绍绝地求生电脑版的最低配置要求。 CPU&#xff1a;Intel Core i5-4430或…

基于包围盒算法的三维点云数据压缩和曲面重建matlab仿真

目录 1.算法运行效果图预览 2.算法运行软件版本 3.部分核心程序 4.算法理论概述 4.1 包围盒构建 4.2 点云压缩 4.3 曲面重建 5.算法完整程序工程 1.算法运行效果图预览 2.算法运行软件版本 matlab2022a 3.部分核心程序 ...........................................…

4.3 媒资管理模块 - Minio系统上传图片与视频

文章目录 一、上传图片1.1 需求分析1.2 数据模型1.2.1 media_files 媒资信息表 1.3 准备Minio环境1.3.1 桶环境1.3.2 连接Minio参数1.3.3 Minio配置类 1.4 接口定义1.4.1 上传图片接口请求参数1.4.2 上传图片接口返回值1.4.3 接口代码 1.5 MediaFilesMapper1.6 MediaFileServic…

技术阅读周刊第十一期

技术阅读周刊&#xff0c;每周更新。 历史更新 20231124&#xff1a;第七期20231201&#xff1a;第八期20231215&#xff1a;第十‍期 A Comprehensive guide to Spring Boot 3.2 with Java 21, Virtual Threads, Spring Security, PostgreSQL, Flyway, Caching, Micrometer, O…

第19章总结

一.Java绘图类 1.Graphics类 Graphics类是所有图形上下文的抽象基类&#xff0c;它允许应用程序在组件以及闭屏图像上进行绘制。Graphics类封装了Java支持的基本绘图操作所需的状态信息&#xff0c;主要包括颜色、字体、画笔、文本、图像等。 2.Graphics2D类 Graphics2…

MFC 工具栏

目录 工具栏概述 工具栏的使用 添加工具栏资源 创建&#xff0c;加载工具栏 设置工具栏停靠 工具栏概述 CToolBarCtrl-父类CWnd&#xff0c;封装了关于工具栏控件的各种操作。 CToolBar一父类CControlBar&#xff0c;封装了关于工具栏的操作&#xff0c;以及和框架窗口的…

【力扣周赛】第 373 场周赛(交换得到字典序最小的数组 ⭐分解质因子+前缀和+哈希表)

文章目录 竞赛链接Q1&#xff1a;2946. 循环移位后的矩阵相似检查竞赛时代码——模拟 2947. 统计美丽子字符串 I竞赛时代码——前缀和暴力枚举 Q3&#xff1a;2948. 交换得到字典序最小的数组竞赛时代码——排序后判断相似题目——1202. 交换字符串中的元素&#xff08;使用并查…

【C++练级之路】【Lv.5】动态内存管理(都2023年了,不会有人还不知道new吧?)

目录 一、C/C内存分布二、new和delete的使用方式2.1 C语言内存管理2.2 C内存管理2.2.1 new和delete操作内置类型2.2.2 new和delete操作自定义类型 三、new和delete的底层原理3.1 operator new与operator delete函数3.2 原理总结3.2.1 内置类型3.2.2 自定义类型 四、定位new表达…

MFC读取文件数据,添加信息到列表并保存到文件

打开并读取文件信息 添加&#xff1a; BOOL infoDlg::OnInitDialog() {CDialogEx::OnInitDialog();// TODO: 在此添加额外的初始化AfxMessageBox("欢迎查看学生信息");SetList();return TRUE; // return TRUE unless you set the focus to a control// 异常: OCX 属…

Spark编程语言选择:Scala、Java和Python

在大数据处理和分析领域&#xff0c;Apache Spark已经成为一种非常流行的工具。它提供了丰富的API和强大的性能&#xff0c;同时支持多种编程语言&#xff0c;包括Scala、Java和Python。选择合适的编程语言可以直接影响Spark应用程序的性能、可维护性和开发效率。在本文中&…

Json和Xml

一、前言 学习心得&#xff1a;C# 入门经典第8版书中的第21章《Json和Xml》 二、Xml的介绍 Xml的含义&#xff1a; 可标记性语言&#xff0c;它将数据以一种特别简单文本格式储存。让所有人和几乎所有的计算机都能理解。 XML文件示例&#xff1a; <?xml version"1.…

自动驾驶学习笔记(二十二)——自动泊车算法

#Apollo开发者# 学习课程的传送门如下&#xff0c;当您也准备学习自动驾驶时&#xff0c;可以和我一同前往&#xff1a; 《自动驾驶新人之旅》免费课程—> 传送门 《Apollo开放平台9.0专项技术公开课》免费报名—>传送门 文章目录 前言 感知算法 定位算法 规划算法…

分享70个Java源码总有一个是你想要的

分享70个Java源码总有一个是你想要的 学习知识费力气&#xff0c;收集整理更不易。 知识付费甚欢喜&#xff0c;为咱码农谋福利。 链接&#xff1a;https://pan.baidu.com/s/1s8ZVYHb5B1GgXMlpG-6-Iw?pwd6666 提取码&#xff1a;6666 项目名称 admin、cms、console 等多…

nodejs+vue+微信小程序+python+PHP的4s店客户管理系统-计算机毕业设计推荐

系统的功能结构是系统实现的框架&#xff0c;本系统的主要结构为管理员和用户、员工。管理员的功能为车辆信息管理、用户管理、售后服务管理、售后安排管理、完成售后管理等。 本系统实现了售后的在线申请与处理&#xff0c;方便了用户和管理员、员工三方的利益&#xff0c;提高…

Linux 宝塔mysql莫名其妙数据库不见了恢复数据库

起因&#xff1a;宝塔安装的mysql 线上运行突然表包括库都不见了&#xff0c;想办法恢复数据库 登陆mysql cd /www/server/mysql/binmysql -u root -p查看binlog日志是否打开 show variables like log_%;log_bin如果为 ON 则为开启状态&#xff0c;如果开启了才可以进行下一…

【SD】差异值 生成 同一人物 制作 表情包 【1】

说明&#xff1a;只对AI生成的人物&#xff0c;效果稳定。 Reference差异值 生成表情 首先生成一张图片。 测试命令&#xff1a;1 man,chibi,full body, 模型&#xff1a;envyclarityxl02_v10.safetensors [f6c13197db] 种子&#xff1a;2704867166 》》测试命令&#xff1a…

智能优化算法应用:基于金豺算法3D无线传感器网络(WSN)覆盖优化 - 附代码

智能优化算法应用&#xff1a;基于金豺算法3D无线传感器网络(WSN)覆盖优化 - 附代码 文章目录 智能优化算法应用&#xff1a;基于金豺算法3D无线传感器网络(WSN)覆盖优化 - 附代码1.无线传感网络节点模型2.覆盖数学模型及分析3.金豺算法4.实验参数设定5.算法结果6.参考文献7.MA…

力扣:51. N 皇后

题目&#xff1a; 按照国际象棋的规则&#xff0c;皇后可以攻击与之处在同一行或同一列或同一斜线上的棋子。 n 皇后问题 研究的是如何将 n 个皇后放置在 nn 的棋盘上&#xff0c;并且使皇后彼此之间不能相互攻击。 给你一个整数 n &#xff0c;返回所有不同的 n 皇后问题 的…

网络7层架构

网络 7 层架构 什么是OSI七层模型&#xff1f; OSI模型用于定义并理解数据从一台计算机转移到另一台计算机&#xff0c;在最基本的形式中&#xff0c;两台计算机通过网线和连接器相互连接&#xff0c;在网卡的帮助下共享数据&#xff0c;形成一个网络&#xff0c;但是一台计算…

Unity重写Inspector简化分组配置文件

Unity重写Inspector简化分组配置文件 重写Inspector创建分组管理配置文件创建修改参数参数对应类工程在我的资源中名为CreateConfig&#xff0c;免费下载 重写Inspector创建分组管理配置文件 创建 修改参数 参数对应类 using UnityEngine;public class GameConfig : Scriptab…