BUUCTF流量分析题

最新推荐文章于 2025-05-05 08:30:00 发布
最新推荐文章于 2025-05-05 08:30:00 发布
阅读量2.5k 收藏 33
点赞数 90
文章标签: CTF wireshark CTF流量分析 BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_76596810/article/details/145523756
版权

文章目录

前言

CTFSHOW : https://ctf.show/challenges (点击网址跳转)
每道题都从以下模板讲解,并且每个步骤都有图片,清晰明了,便于复盘。

  • 题目:
  • 解决思路:
  • flag:
  • 本质:
  • 疑问:

wireshark

  • 题目:

解压得到pcap文件
在这里插入图片描述在这里插入图片描述

  • 解决思路:
    在这里插入图片描述

根据提示直接过滤出POST包(管理员登录网址。一般提交数据会用POST方法)

在这里插入图片描述

  • flag:
    flag{ffb7567a1d4f4abdffdb54e022f8facd}
  • 本质:
    • 如果管理员登录时使用的是明文传输(如HTTP协议),攻击者可以通过分析流量包获取管理员的用户名和密码。
    • 通过过滤流量包(如使用http.request.method == POST),可以快速定位到登录请求,并从中提取敏感信息。

被嗅探的流量

  • 题目:
    在这里插入图片描述在这里插入图片描述
  • 解决思路:
    根据题目提示是一段文件传输数据,猜测是http的上传,或者有关文件传输的数据
    先浏览了一下流量,发现HTTP协议的流量有上传文件的痕迹
    在这里插入图片描述

在这里插入图片描述

  • flag:
    flag{da73d88936010da1eeeb36e945ec4b97}

被偷走的文件

  • 题目:

解压得到pcap文件

在这里插入图片描述

在这里插入图片描述

  • 解决思路:

先大致浏览一下流量,发现有flag.rar字样
RETR flag.rar 是一个用于从服务器下载flag.rar 文件的命令,因此这个flag.rar 可能是被偷走的文件
在这里插入图片描述

在kali用foremost分离文件,foremost ‘/home/kali/桌面/1.pcapng’ -o out

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

  • 使用ARCHPR暴力破解,先尝试1-8位数字破解,得出密码为5790
    在这里插入图片描述
  • 输入密码,解压得到flag.txt文件
    在这里插入图片描述
  • flag:
    flag{6fe99a5d03fb01f833ec3caa80358fa3}

easycap

  • 题目:
    解压得到pcap文件
    在这里插入图片描述在这里插入图片描述
  • 解决思路:
    先大致浏览一下流量,发现全部是tcp协议的数据包,追踪tcp流即可得到flag在这里插入图片描述
  • 本质:
    TCP是面向流的协议,数据在传输时会被分割成多个报文段(segments)。追踪TCP流的功能(如Wireshark中的"Follow TCP Stream")会自动将这些分散的报文段按顺序重组,还原出完整的应用层数据流。
  • flag:
    flag{385b87afc8671dee07550290d16a8071}

数据包中的线索

  • 题目:
    解压得到pcap文件
    在这里插入图片描述在这里插入图片描述
  • 解决思路:
    • 先大致浏览一下流量,发现有少数的http数据包有特征(fenxi.php等等),其他协议很普通
      在这里插入图片描述

在这里插入图片描述

  • 过滤出http数据包

  • 追踪编为7的数据包,啥也没有
    在这里插入图片描述

  • 追踪编为60的数据包
    在这里插入图片描述

  • 发现这个包中有一段很长的字符串,结尾看到有“=”号,像是base64编码
    在这里插入图片描述
    在这里插入图片描述

  • 来到一个 在线的base64解码网站https://the-x.cn/base64上,进行解码

  • 发现头文件是JFIF,是图片格式

在这里插入图片描述

  • 开启自动模式,另存为jpg文件
    在这里插入图片描述

  • 打开图片,得到flag
    在这里插入图片描述

  • 方法二:

    • 追踪http流,可以看到加密内容在响应包里面,所以在wireshark中找到响应包中字符位置,选择显示分组字节
      在这里插入图片描述在这里插入图片描述

  • 直接解码并且显示为图像
    在这里插入图片描述

  • flag:
    flag{209acebf6324a09671abc31c869de72c}

秘密文件

  • 题目:
    解压得到pcap文件
    在这里插入图片描述在这里插入图片描述
  • 解决思路:
    • 先大致看一下流量包,发现有flag字眼
      在这里插入图片描述
  • 追踪该数据包的tcp流得到如下,发现有.rar , 大概率就是Hack偷走的文件
    在这里插入图片描述
  • 流量文件中含有rar文件
    在这里插入图片描述
  • 分离出流量包中的rar文件,foremost ‘/home/kali/桌面/1.pcapng’ -o out1
    在这里插入图片描述
  • 需要密码,ARCHPR暴力破解得到密码是1903,打开txt文件得到flag
    在这里插入图片描述
  • flag:
    flag{d72e5a671aa50fa5f400e5d10eedeaa5}

[安洵杯 2019]Attack (难,没写)

  • 题目:
    解压得到pcap文件
    在这里插入图片描述在这里插入图片描述
  • 解决思路:

  • flag:

被劫持的神秘礼物

  • 题目:
    解压得到pcap文件

在这里插入图片描述

在这里插入图片描述

  • 解决思路:
    大致看一下流量包,发现编号为4的http协议数据包的请求路径有login的痕迹
    或者根据题目提示,找到账号和密码,直接过滤http.request.method==POST即可
    在这里插入图片描述
    直接追踪编号为4数据包的http流
    在这里插入图片描述

可以看到账号:admina , 密码:adminb
在这里插入图片描述
题目提示:找到帐号密码,串在一起,用32位小写MD5哈希一下得到的就是答案

import hashlib

def generate_md5_hash(input_string):
    """Generate a 32-bit lowercase MD5 hash from the input string."""
    # 创建 MD5 哈希对象
    md5_hash = hashlib.md5()

    # 更新哈希对象,添加待加密文本(需要先将字符串编码为字节)
    md5_hash.update(input_string.encode('utf-8'))

    # 获取并格式化哈希值为 32 位小写的十六进制字符串
    return md5_hash.hexdigest()

test_string = "adminaadminb"
print(f"The MD5 hash of '{test_string}' is {generate_md5_hash(test_string)}")

在这里插入图片描述

也可以直接在线MD5解密
在这里插入图片描述

  • flag:

flag{1d240aafe21a86afc11f38a45b541a49}

大流量分析(一)

  • 题目:
    解压得到pcap文件
    在这里插入图片描述
  • 解决思路:

  • flag:

大流量分析(二)

  • 题目:
    解压得到pcap文件
  • 解决思路:

  • flag:

大流量分析(三)

  • 题目:
    解压得到pcap文件
  • 解决思路:

  • flag:

模板

  • 题目:
    解压得到pcap文件
  • 解决思路:

  • flag:

模板

  • 题目:
    解压得到pcap文件
  • 解决思路:

  • flag:

[BUUCTF]大流量分析 writeup
ShenZ的博客
09-05 1384
重要的话写前面,不要靠近这个,会变得不幸 没什么逻辑,感觉是大流量 恶心人的…也可能是我没看懂哦 [BUUCTF]大流量分析 某黑客对A公司发动了攻击,以下是一段时间内我们获取到的流量包 1.黑客的攻击ip是多少? 2.黑客使用了哪个邮箱给员工发送了钓鱼邮件? 3.那黑客预留的后门的文件名是什么? 统计出现频率比较高的IP,这里不知道D和H的区别所以两个都看看 172.16.61.200 183.129.152.140 黑客IP 172.16.103.1 172.16.61.199 1.攻击IP 分
BUUCTF——大流量分析一、二、三
人若无名,便可专心练剑
05-14 1662
我们可以看到除了几个172开头的内网IP地址,就是183.129.152.140这个IP出现的频率最高了,所以我们怀疑这个就是攻击者的IP地址。目说黑客攻击了A公司,那么进行攻击,且我们手上目前又有攻击留下的数据包,那么里面肯定有很多攻击IP与我们内网IP有交互的。如果是做目嘛,那么我们就可以把这个地址直接提交,看看是不是正确的,但是真实的工作环境下,我们需要再进行确认下。某黑客对A公司发动了攻击,以下是一段时间内我们获取到的流量包,那黑客预留的后门的文件名是什么?
BUUCTF:大流量分析(一)
wangjin7356的博客
01-16 5564
目链接 https://buuoj.cn/challenges#%E5%A4%A7%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90%EF%BC%88%E4%B8%80%EF%BC%89 解过程 附件有很多不同时段的流量包,打开其中一个看看: 利用统计工具分析一下: 统计-会话。发现183.129.152.140与内网IP建立会话的Packets较多。 统计-端点。同样发现183.129.152.140的包数最多。 统计-IPv4 Statistics-ALL A
BUUCTFwireshark流量分析目writeup汇总
qq_49849300的博客
09-06 5470
1.Transfer-Encoding: chunked分块编码。筛选 URB_INTERRUPT in 的HID Data数据。2./9j是jpg文件头的base64编码。这中间一顿爆破爆不出来,还是得找流量。要密码,爆破试一下 5790。说明下载的是6666.jpg。
BUUCTF:[DDCTF2018]流量分析
末初 · mochu7
12-08 5034
https://buuoj.cn/challenges#[DDCTF2018]%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90 流量分析.pcap 流量分析.txt 流量分析 200pt 提示一:若感觉在中间某个容易出错的步骤,若有需要检验是否正确时,可以比较MD5: 90c490781f9c320cd1ba671fcb112d1c 提示二:注意补齐私钥格式 -----BEGIN RSA PRIVATE KEY----- XXXXXXX -----END RSA PRIVAT
BUUCTF——MISC(流量分析
m0_55854679的博客
07-25 5610
也可以使用关键词phpinfo(),仔细查看每一个符合要求的流量包,得到。提示告知是文件传输的流量,那进去过滤http流量包即可,找到关于。,发现flag正确,所以后面看见的邮箱也就不需要试了。等关键字的数据包,另存后使用记事本打开,即可看到。还是上一的流量包,我们知道发送邮件的协议一般为。在上上一中,我们得到了黑客的攻击IP。这里要找文件名,因为是后门文件,一般是。我们首先尝试第一眼看到的。,首先过滤一下这个IP;发现次数最多的IP地址。2.或者搜索字符串。...
Buuctf easycap(流量分析
weixin_73822660的博客
05-08 746
以pcap结尾的文件我们就可以看到这是一个流量分析目所以我们用来进行。我们可以看到该数据包全部为TCP,对该数据包进行数据流追踪得到flag。
杂项——USB键盘与鼠标流量分析——BUUCTF——流量分析
2301_80905479的博客
11-02 1441
GET DESCRIPTOR 和 URB_INTERRUPT in 都属于 USB 数据传输方式,但它们的用途不同,GET DESCRIPTOR 用于获取设备信息,而 URB_INTERRUPT in 用于实时地获取设备数据。端点描述符(Endpoint Descriptor):用于描述USB设备的端点信息,包括端点地址、端点类型、端点方向、最大包大小等信息。设备描述符(Device Descriptor):用于描述 USB 设备的基本属性,如设备厂商 ID、设备产品 ID、设备类别等。
Wireshark(流量分析)WP
Fear1e4的博客
03-11 1314
一个pcap包,一个hink。要我们找私钥,打开之后先用过滤找tcp包里带有“key”的。发现带有base64编码,追踪流拿出来用工具解码一下。没解出来,发现带着个png。下载下来发现里面看着像私钥。用ocr识别完,再纠正一下,用hink里的套一下。然后搜一下http传输内容,追踪一下流,发现flag。
2019某行业CTF大赛目复现——流量分析(http)
qwsn
11-08 4163
0x01 上目附件: 附件百度网盘链接地址 提取码 目名字 https://pan.baidu.com/s/1e9A4750P_A6Sy5Gq5397VA zp14 http1 0x02 WP复习: 1.首先解压该附件 发现:有一个名为http1的流量包,我们这里使用wireshark软件打开 2.由目可知,与http有关。我们这里筛选http 发现:两个带有flag....
DDCTF2018 流量分析
pondzhang的专栏
10-14 1117
=E4=BD=A0=E5=A5=BD=EF=BC=8C=E8=AF=B7=E4=BD=A0=E5=B0=86=E5=AF=86=E9=92=A5=E5=AE=89=E8=A3=85=E5=88=B0=E6=9C=8D=E5=8A=A1=E5=99=A8=E4=B8=8A=E3=80=82=E8=B0=A2=E8=B0=A2 解码为“你好,请你将密钥安装到服务器上。谢谢” 获得privatekey为 -----BEGIN RSA PRIVATE KEY----- MIICXAIBAAKBgQDCm6vZm
流量分析(一)-BUUCTF
BEGCCYD的博客
11-11 330
https://buuoj.cn/challenges#大流量分析(一) 随便打开一个,直接搜索…/等攻击语句,定位到产生真实攻击的IP,得到183.129.152.140 flag为flag{183.129.152.140}
BUUCTF:大流量分析(一)
末初 · mochu7
12-02 1502
https://buuoj.cn/challenges#%E5%A4%A7%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90%EF%BC%88%E4%B8%80%EF%BC%89 下载这个就可以了数据采集D_eth0_NS_20160809_164452.pcap wireshark打开后,随便看下,发现除了私有地址,IP出现次数最多得就是:183.129.152.140 flag{183.129.152.140} ...
BUUCTF 流量分析 被偷走的文件
qq_29566629的博客
12-06 946
得到一个流量包,打开后,筛选FTP协议,追踪流如下: 这里补充点FTP的知识: PASV 是FTP里被动模式的意思,和FTP server建立连接后,server打开一个端口监听发送给client,client再和server建立传输的连接。 但是文件流里没有文件的内容,所以试着用foremost对流量包分离,得到一个压缩包: 被加密,试着用ARCHPR进行解密,成功后得到: ...
BUUCTF流量分析(一) 1
最新发布
YueXuan_521的博客
05-05 688
BUUCTF流量分析(一) 1 某黑客对A公司发动了攻击,以下是一段时间内我们获取到的流量包,那黑客的攻击ip是多少?(答案加上flag{})附件链接: https://pan.baidu.com/s/1EgLI37y6m9btzwIWZYDL9g 提取码: 9jva 注意:得到的 flag 请包上 flag{} 提交。1、随便打开一个,一般黑客的攻击流量会很多,需要使用Wireshark统计功能。下载附件,有很多pcap流量包。的分组数,是除内网IP最多的。最后,确认黑客的攻击ip是。
BUUCTF--------[DDCTF2018]流量分析
woshicainiao666的博客
12-13 736
SMTP(Simple Mail Transfer Protocol)是一种用于电子邮件传输的协议,它定义了邮件客户端和邮件服务器之间的通信规则。SMTP 协议通常用于发送邮件,而收取邮件则通过 POP3 或 IMAP 协议。编辑----首选项------protocols------TLS-----edit---添加。flag.zip要密码,找了半天没有找到密码在哪,放弃。文件----->导出对象------>ftp-data。去看另一个sqlmap.zip,一样,密码找不到,放弃。
CTF流量分析-集4-【BUUCTF】Sqltest
m0_51198141的博客
12-04 882
BUUCTF搜索即可盲注本身不算很难,但是如果这样去读取数据的话很容易导致数据的错误,之后会单独出一期。有错误欢迎留言交流。
buuctf-wireshark流量分析
sha1_mi的博客
11-25 4575
目录解工具目解思路总结 解工具 Wireshark-win64-3.0.5→下载地址https://url71.ctfile.com/f/13238771-521808015-2ec947(访问密码:8835) 目 黑客通过wireshark抓到管理员登陆网站的一段流量包(管理员的密码即是答案) 注意:得到的 flag 请包上 flag{} 提交 解思路 下载文件用Wireshark打开,根据目可以分析出flag信息为管理员登陆网站时的密码,该请求方式为post类型 http.requ
buuctf 加固
03-08
### 关于 buuCTF 加固的解思路 #### SQL 注入漏洞分析与修复 在面对 web 服务存在 SQL 注入漏洞的情况下,首要任务是对现有应用程序中的查询语句进行全面审查。通常情况下,SQL 注入发生在开发者直接拼接用户输入到 SQL 查询字符串中时[^4]。 为了防止此类攻击,在编写代码时应采用参数化查询或预编译语句来代替简单的字符串连接方式处理数据库请求。以下是 Python 中使用 `sqlite3` 库执行安全查询的一个例子: ```python import sqlite3 def safe_query(user_input): conn = sqlite3.connect('example.db') cursor = conn.cursor() # 使用问号占位符替代变量插入 query = "SELECT * FROM users WHERE username=? AND password=?" result = cursor.execute(query, (user_input['username'], user_input['password'])) data = result.fetchall() conn.close() return data ``` 通过这种方式能够有效阻止恶意构造的 SQL 片段被执行,从而保护系统的安全性。 #### 学习路径建议 对于想要深入理解 CTF 比赛以及网络安全领域的新手而言,可以从以下几个方面入手准备: - 掌握计算机网络基础知识,了解 OSI 参考模型各层功能及其对应的工作机制;熟悉 HTTP、TCP/IP 等常用协议的具体工作过程; - 对 Web 安全有基本认识,特别是针对常见的漏洞类型如 XSS 跨站脚本攻击、CSRF 跨站点请求伪造等进行研究; - 练习实际操作技能,利用在线平台提供的实验环境(如 BUUCTF),不断积累经验并提高解决问的能力[^2]。 #### 相关资源推荐 除了官方文档外,互联网上还有许多优质的开源项目和社区可以帮助大家更好地理解和掌握这些概念和技术细节。例如 GitHub 上有许多优秀的 CTF 工具集合仓库可供参考学习[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

粤安有我_小曾

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值