BUUCTF_MISC题解析(7.wireshark)

已于 2024-10-29 22:59:10 修改
阅读量1.9k 收藏 33
点赞数 24
CC 4.0 BY-SA版权
分类专栏: BUUCTF_MISC 文章标签: 网络安全
于 2024-10-12 18:54:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_87524087/article/details/142884023

7.wireshark

下载文件发现里面是一个pcap格式的文件。而pcap格式就是网络分析工具保存的网络数据包,是捕获的从网卡发送或者接收的每一个数据包的离线网络流量。

f09c319374c64cecb3f4dc02d10b8da5.jpg

 在wireshark官网上下载wireshark,wireshark是网络封包分析工具。将文件用wireshark打开,发现有三个部分,上半部分绿色的是数据包窗口,左下角是TCP/IP协议栈解析窗口,右下角是数据显示窗口。

9fee966d5a4f42fc857e5ccf59e37557.jpg

 优先协议分级减小工作量,根据协议分级的结果,我们优先分析数量多占比高的协议流量。在最上面点统计,再点第三行的协议分级,打开后发现分为五层

  • Frame物理层
  • Ethernet数据链路层
  • Internet Protocol Version 4网络层IPV4协议
  • Transmission Control Protocol传输层TCP协议
  • Hypertext Transfer Protocol应用层HTTP协议

49cc0b3d95524602a89ad54a65b828eb.jpg

 发现应用层HTTP协议占比最高,应该优先分析,优先分析占比最高的。点击右键滑到“作为过滤器应用”点击“选中”,再返回原页面,这样就显示过滤了HTTP协议相关的数据包,可以看见左上方的应用显示过滤器的输入框内容也添加了”http“,现在只有29个数据包了,我们即将开始逐个分析,点击每一个数据包,观察下面的窗口。

e9f5f19bc755495da24c9302be10da55.jpg

 发现第三个数据包的TCP/IP协议栈解析窗口和数据显示窗口处都出现了flag(password),将其复制,输入。(或者直接在显示过滤器中查找包含”flag“字段的数据包,在左上角输入“http contains"flag"",就可以在数据显示窗口找到flag)

fd3fb0454dd942a49f4da227734b7d6b.jpg

 数据包分析思路
1. 观察分组数(wireshark右下角),如果分组数量较大我们就进行协议分级进行分析,数量较小就逐个人工查看(数量小协议分级效果不明显,但还是可以优先协议分级减小工作量)。
2. 根据协议分级的结果,我们优先分析数量多占比高的协议流量,分析过程根据题目不同思路也有所不同。
3. 如果协议分级中有文件传输协议或是有传输媒体文件内容优先进行导出,一定要使用foremost工具进行辅助。
4. 如果没有思路就搜索“flag”“ctf”等关键词。
5. 涉及到攻击的流量就只能逐个追踪TCP流查看了。

*wireshark是网络封包分析工具,可以截取各种网络数据包,并显示数据包详细信息。*pcap格式就是网络分析工具保存的网络数据包,是捕获的从网卡发送或者接收的每一个数据包的离线网络流量。

 

BUUCTF Misc wireshark 1
m0_55842055的博客
10-13 785
目很明显的提示就是用分析wireshark网络流量包的阅读 打开流量包, 第一个想法就是,浏览一下从大部分中找小部分,发现http比较特殊。 第二个想法是:从目出发,既然是上传登录信息,就直接搜索 http.request.method==post 因为上传用户登录信息使用的一定是http里的post方法。 找到这个上传数据包后就可以在其中找登录的密码信息。 在HTML FROM URL RNCODED 中可以找到管...
BUUCTF_MISC
热门推荐
m0_52885531的博客
05-30 2万+
BUUCTF_MISC解 第二 金三胖 将GIF图片用ps进行逐帧分解,可以得到三张特殊的照片 直接将三个照片里的内容拼接起来就好 第三 二维码 下载好附件解压后发现是一个.png文件的二维码 用CQR扫描后得到二维码的结果 发现并没有得到想要的flag,并且提示我们flag并不在这李,那我们就用二进制编辑器打开看一看在哪里。 .png的文件尾是AE 42 60 82,按理来说在文件尾之后就应该结束,我们却发现png的文件尾后还跟着50 4B 03 04,这是.zip的文件头,说明在该照片
BUUCTFwireshark
金 帛的博客
04-15 2573
BUUCTFwireshark
[buuctf misc] wireshark 乌镇峰会种图 N种方法解决
2402_87504877的博客
05-11 328
根据目是一道流量分析的,放在wireshark里搜flag发现后面有密码根据目描述,密码既是flag。
BUUCTF-wireshark
Nothing-one的博客
06-28 705
将文件下载之后就可以看到PCAP文件一般就是用流量分析(从目也可以看到wireshark(这是一个流量分析文件)) 将这个文件传到linux虚拟机中然后用虚拟机中的wireshark(这个可能是kali中的自带的。好久了忘了) 将这个文件用wireshark打开,然后就可以在这里面找到登录的网站从目中可以得到flag就是密码。点开之后最下面我们可以看到这个网站的用户名和密码(也就是flag) flag{ffb7567a1d4f4abdffdb54e022f8facd} ...
BUUCTF wireshark
m0_49025459的博客
04-19 850
目 打开是个流量包,看目又是管理员登录的网站 ,那我们就找一下post包
BUUCTF wireshark 1
YueXuan_521的博客
10-24 1641
BUUCTF wireshark 1 2、分析目,需要找到管理员登陆网站的流量,并从中找到登录密码。使用“http.request.method==POST”语句过滤流量包,得到一条登录流量。3、分析这条流量,在数据包详细信息中找到登陆密码“password”,得到flag。黑客通过wireshark抓到管理员登陆网站的一段流量包(管理员的密码即是答案)下载附件,解压后得到一个.pcap文件。1、双击文件,在wireshark打开。
Buuctf wireshark
Dexret的博客
11-16 702
下载该文件,发现该文件为wireshark的数据包 通过wireshark打开该数据包 通过意可以得到,我们需要找到管理员提交数据的post请求 找到该post请求后,在下面可以看到该请求的具体数据 找到Line-based text data并展开 得到该flag:flag{ffb7567a1d4f4abdffdb54e022f8facd} ...
buuctf_misc 菜刀666
最新发布
06-13
BUUCTF的杂项(Misc目中,菜刀工具(Cknife)通常被用来进行文件解析、隐写分析或流量数据提取等操作。以下是对菜刀工具在BUUCTF中的使用技巧和相关解思路的总结[^1]。 #### 菜刀工具的基本功能 菜刀工具是...
BUUCTF-misc
2302_80935968的博客
05-27 1160
打开附件发现是一个.jpg文件,继续用二进制编辑器打开仔细寻找发现里面有两个FF D8 FF,所以有两个.jpg文件,我们将这两个文件进行分离发现什么信息都没有,相反在源文件的基础上,我们直接搜索flag(66 6C 61 67)反而很轻易的看到了flag。下载好附件之后是一个.jpg文件,但是目说保险箱有一个四位数的密码,因此我们猜测在这个.jpg文件中肯定还隐藏了其他文件,我们用二进制编辑器打开这个文件。说明这里还藏着一个.rar文件,那就很easy了,还是老规矩,我们把.rar文件分离出来。
BUUCTF MISC思路及实现过程
Shuras1223的博客
04-02 5982
buuctf misc 解及答案
buuctfmiscwireshark
04-10
buuctfmisc目中,可能需要使用Wireshark解析和分析给定的网络数据包,以获取关键信息或者解决问。 具体的解步骤可能因目而异,但通常的解思路如下: 1. 下载并安装Wireshark:首先需要从Wireshark...
buuctf misc wireshark
06-28
回答3:</h3><br/>BUUCTF Misc Wireshark 是一道Misc目,主要涉及的是网络协议分析工具Wireshark的应用和技能。 Wireshark是一款免费开源的网络协议分析工具,它能够对网络数据包进行捕捉、分析和显示,能够...
BUUCTF---wireshark1
2201_75556700的博客
03-01 1473
4.用户在登录密码时一般不会用get方式提交,因为这样不安全,相比较而言post安全一点。5.使用http.request.method==POST命令进行过滤,得到一条流量。3.需要用到wireshark工具,用该工具打开文件。6.接下来对数据包进行追踪,得到数据包的信息。2.下载附件是一个.pcap的文件。7.得到登录密码即flag。
BUUCTFwireshark
末初 · mochu7
09-09 8005
目地址:https://buuoj.cn/challenges#wireshark 根据提示直接过滤出POST包 http.request.method==POST flag{ffb7567a1d4f4abdffdb54e022f8facd}
buuctfwireshark1
ywx05_的博客
01-27 385
GET登录后,我们可以在在网页url地址栏中看到登录的用户名和密码,如此一来便毫无安全可言。POST是通过携带数据体传递用户登录信息,登录的数据并不会出现在URL和服务器访问日志中。使用GET方法所有参数都包含在URL中,所以访问网站的URL都会记录在服务器的访问日志中。用户登录操作常用两种方式,GET和POST。使用wireshark进行过滤,具体可看。相比于GET而言,POST就安全得多。小白一个,记录自己的刷过程。这样就得到flag了。
BUUCTF[wireshark]
m0_62995661的博客
03-11 737
BUUCTFwireshark
BUUCTF(Misc)——wireshark
weixin_74738833的博客
04-07 358
BUUCTF(Misc)——wireshark
BUUCTF靶场[MISC]wireshark、被嗅探的流量、神秘龙卷风、另一个世界
m0_73981089的博客
05-09 898
流量、追踪流、wireshark、二进制、ASCII码之间转化、密码爆破、Brainfuck解密
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值