Buuctf 流量中的线索

最新推荐文章于 2025-04-09 08:45:58 发布
最新推荐文章于 2025-04-09 08:45:58 发布
阅读量3.6k 收藏 1
点赞数 2
CC 4.0 BY-SA版权
分类专栏: Buuctf Misc 文章标签: 安全 加密解密 wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Dexret/article/details/121410279
本文介绍如何使用Wireshark工具捕获并分析网络流量中的HTTP数据包,通过过滤和追踪特定HTTP数据流,发现了一段疑似Base64编码的内容。利用在线解码工具将该编码转换成图片,并成功找到挑战标识(flag)。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

下载该文件,发现该文件为一个wireshark流量包文件

用wireshark打开该文件

 发现好多tcp和http的数据包,过滤该数据包

 选择一条http的数据包,右键选择数据流追踪

 发现有一段很长的代码,这段代码很像base64加密

在网上找一个base64解码工具

BASE64转图片 - 站长工具 - 极速数据 (jisuapi.com)icon-default.png?t=LA92https://tool.jisuapi.com/base642pic.html 解码该段代码后发现是一张图片,且该题flag就在图片上

 该题的flag为

flag{209acebf6324a09671abc31c869de72c}

wireshark、被嗅探的流量、数据包中的线索
weixin_50644728的博客
10-28 1601
Wireshark工具使用教程 安装链接: 工具介绍: Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码! 使用wireshark就得先了解网络协议,否则就看不懂wireshark了。为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。 wiresha
从零开始做题:BUUCTF数据包中的线索-wp
weixin_44626085的博客
11-26 1239
其中HTTP流量传输的是浏览器与服务器直接读取解析响应的HTTP协议文本内容,而TCP在主要传输每次访问、响应中的大体积的数据。anaconda、miniconda和canda的区别Anaconda是一个打包的集合,里面预装好了conda、某个版本的python、众多packages、科学计算工具等等,相当于一个全家桶,里面的packages齐全。Miniconda,它只包含最基本的内容——python与conda,以及相关的必须依赖项,就只包含最基本的东西,其他的库得自己装。直接过滤http包4个。
buuctf_misc_流量中的线索
m0_73118788的博客
02-26 803
题目:(打开是个wireshark文件)(这要追踪从上往下最后一个HTTP昂)
流量分析-CTF-BUUCTF-数据包中的线索
theenderofroot的博客
04-12 966
直接看状态码为200的包,追踪TCP流,发现末尾的等号,初步确定是base64编码,确定目标。2、在官网下载zip文件,解压后使用wireshark打开,在显示过滤器中搜索http。3、由于这段base64编码的长度过长,试了几个解码器都解不出来,怀疑是要转图片。用猫捉鱼铃里的工具箱直接梭哈。
BUUCTF-数据包中的线索
cdcdcdcd123132的博客
10-26 1402
流量分析是一种网络监控和安全分析的方法,它可以通过捕获和分析网络中的数据包,来发现网络的运行状况、性能、异常和威胁。流量分析可以帮助网络管理员和安全专家及时发现和解决网络问题,提高网络效率和安全性。这是一个关于网络流量分析的题目,给出了一个pcap文件,要求从中找出隐藏的flag。首先,我们下载并打开pcap文件,使用一款叫做Wireshark的网络协议分析工具来查看其内容。我们发现这个文件中只有很少的几个http流量包,所以我们决定先分析http流量
BUUCTF(Misc)——数据包中的线索
最新发布
weixin_74738833的博客
04-09 995
BUUCTF(Misc)——数据包中的线索
BUUCTF杂项题】数据包中的线索、另外一个世界、神秘龙卷风
Power的博客
01-21 902
Wireshark打开,发现有绿色http统计一下http请求发现可疑fenxi.php追踪整个包明显一堆字符串像Base64解码看看,发现是jpg图片解码方法:方法1:复制到随波逐流base64方法2:在wireshark中找到返回包中字符(因为是紫色就是追踪流的返回包)位置显示分组字节然后解码为base64解码后就知道了图片十六进制对应的ASCII码转换为图片就行方法1:随波主流解码完右键另存为以.jpg为后缀的十六进制文件。
BUUCTF Misc 部分(三)
葜。的博客
01-12 1699
九连环 下载附件 通过foremost分离出一个压缩文件,里面包含一张图片和另一个压缩文件,打开图片显示文件头损坏,用winhex打开,把08改成09保存便可以打开图片。 binwalk和foremost都没东西。看到文件名显示“已合并”,猜测steghide,但是没说密码, 空密码直接分离出ko.txt,里面就是另一个压缩包密码,打开即得flag。 面具下的flag 下载附件 foremost分...
buuctf-MISC做题笔记(5)
Seven1_xwx的博客
06-20 2316
buuctf-MISC做题笔记(5)
BUUCTF-misc刷题
2302_80935968的博客
05-27 1159
打开附件发现是一个.jpg文件,继续用二进制编辑器打开仔细寻找发现里面有两个FF D8 FF,所以有两个.jpg文件,我们将这两个文件进行分离发现什么信息都没有,相反在源文件的基础上,我们直接搜索flag(66 6C 61 67)反而很轻易的看到了flag。下载好附件之后是一个.jpg文件,但是题目说保险箱有一个四位数的密码,因此我们猜测在这个.jpg文件中肯定还隐藏了其他文件,我们用二进制编辑器打开这个文件。说明这里还藏着一个.rar文件,那就很easy了,还是老规矩,我们把.rar文件分离出来。
BuuCTF 数据包中的线索
qq_52907838的博客
08-06 810
下载附件,得到一个pcappng的文件: 看到这个后缀加上题目中有流量,就想到用wireshark打开,如果还不知道wireshark如何安装和使用可以看一下这篇文章:wireshark抓包新手使用教程 - 锅边糊 - 博客园 (cnblogs.com) 打开后看到TCP的包,直接过滤http的包,查看HTTP包,看到第二个HTTP包中有类似于base64加密的东西: 拿去解密:https://the-x.cn/base64 发现是图片,另存为图片: 得到答案。 ...
buuctf-misc-24.数据包中的线索
weixin_49765221的博客
05-03 996
base64转图片
CTF 流量包相关-流量分析(1)
热门推荐
qq_56815564的博客
04-28 1万+
前面的flag不论是直接给你明文,还是有一定的编码,都是比较简单的,像这些十成甚至九成都会是签到题,所以了解一下知道有这种情况就好,重点不再这边另外这里还是给出一下风佬的脚本吧,虽然我感觉用到的几率应该不会很大,如果要用的话,那个破空查flag的工具应该会比较好用,下载的话,风佬的git里面应该有,这里就不给了。
BUUCTF 数据包中的线索 1
YueXuan_521的博客
11-02 2854
BUUCTF 数据包中的线索 1 ,得到的都是乱码,没有有意义的文本。看了别人的题解,才知道解码出的内容是一个jpg图片的数据。我们使用这个Base64 在线网站,将得到的密文进行解码,网站提醒我们可以另存为jpg文件,点击另存为,我们会下载一张jpg图片。我们首先过滤HTTP流量,然后追踪HTTP流,找到很多的特殊信息,似乎经过Base64编码加密。公安机关近期截获到某网络犯罪团伙在线交流的数据包,但无法分析出具体的交流内容,聪明的你能帮公安机关找到线索吗?下载附件,解压得到一个.pcapng文件。
BUUCTF:数据包中的线索
2401_83972784的博客
10-24 1442
看见解码后的结果里面的开头有JFIF,很明显这是一张图片,这里可以先转十六进制再导入010或者winhex,当然还有更方便的随波逐流,直接用base64转图片。flag直接出现在图片里:flag{209acebf6324a09671abc31c869de72c}先追踪报红包体的TCP流看看怎么个事,找到一个访问fenxi.php页面的数据包。拿到题目数据包放进Wireshark中分析,可以看见已经有报红的包体了。下面一大堆编码,看着像是base64的编码,拿去解码试试再说。
BUUCTF-MISC-数据包中的线索
2301_80480838的博客
05-08 680
追踪TCP流,在第七段发现base64编码。解压之后可以看到一段截取的数据包。先把这段base64编码解码,
BUUCTF---数据包中的线索1
2201_75556700的博客
03-03 874
6.正常拿去解码,发现base64解不出,考虑到这可能会是犯罪分子聊天记录截图,拿去base转图片。4.这条数据流是http,且使用GET方式,接下来我们使用http.request,method==GET。3.放在wireshark中,仔细观察数据流,会发现有个叫fenxi.php的数据流。5.在分析栏中我们追踪http数据流,得到数据如下。2.下载附件,是一个.pcap文件。
buuctf misc 数据包中的线索
weixin_44110537的博客
08-30 1314
base64 转图片 import base64 f=open('..\ccc','r').readlines() img='' for i in f: img+=i.strip() imgdata = base64.b64decode(img) file = open('1.jpg', 'wb') file.write(imgdata) file.close()
BUUCTFwireshark流量分析题目writeup汇总
qq_49849300的博客
09-06 5755
1.Transfer-Encoding: chunked分块编码。筛选 URB_INTERRUPT in 的HID Data数据。2./9j是jpg文件头的base64编码。这中间一顿爆破爆不出来,还是得找流量。要密码,爆破试一下 5790。说明下载的是6666.jpg。
buuctf wirreshark
03-23
### BUUCTFWireshark 的使用教程与解题技巧 #### 工具概述 Wireshark 是一款功能强大的网络协议分析工具,能够捕获和解析网络数据包。在 CTF 比赛中的 MISC 类题目中,经常需要用到它来提取敏感信息或者还原通信过程。 #### 基本操作流程 1. **下载并解压附件** 题目通常会提供一个 `.pcap` 文件作为附件,将其下载到本地后解压缩以便后续处理[^2]。 2. **加载 pcap 文件至 Wireshark** 打开 Wireshark 软件,通过菜单栏 `File -> Open...` 加载目标 `.pcap` 数据包文件[^1]。 3. **快速定位关键字** 利用快捷键 `Command + F` (MacOS) 或 `Ctrl + F` (Windows/Linux),输入可能的关键字如 `admin`, `password`, `passwd` 进行全局搜索。这些字段往往被用来标记登录凭证或其他重要信息。 4. **过滤特定协议的数据流** 如果知道攻击场景涉及某种具体协议(比如 HTTP/HTTPS),可以通过设置显示过滤器进一步缩小范围。例如,在过滤框中输入 `http.request.method == "POST"` 来仅查看 POST 请求相关内容。 5. **重建传输层对话** 对于复杂交互型任务,可以选择某条感兴趣的 TCP 流量右击选择 “Follow TCP Stream”,从而直观看到两端设备间交换的具体报文内容[^3]。 6. **导出有用部分单独分析** 当发现某些特殊行为但整体日志过大难以阅读时,可选中对应片段再另存新 PCAPNG 文档专门研究[^4]。 #### 实战案例分享 假设遇到一道名为“Network Traffic”的杂项挑战题: - 经过上述初步探索之后未能找到明显线索; - 尝试切换视角关注 DNS 查询记录是否有异常主机名指向; - 结合时间戳对比不同类型的请求序列是否存在规律性模式变化; 最终成功挖掘隐藏 flag 字符串。 ```bash # 示例命令展示如何利用 tshark 提取指定条件下的所有HTTP响应体保存成文本形式供离线审查 tshark -r input.pcapng -Y 'http.response' -T fields -e http.file_data > output.txt ``` --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值