Buuctf 流量中的线索

最新推荐文章于 2025-08-20 17:47:33 发布
原创 最新推荐文章于 2025-08-20 17:47:33 发布 · 3.8k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #加密解密 #wireshark

本文介绍如何使用Wireshark工具捕获并分析网络流量中的HTTP数据包,通过过滤和追踪特定HTTP数据流,发现了一段疑似Base64编码的内容。利用在线解码工具将该编码转换成图片,并成功找到挑战标识(flag)。

下载该文件,发现该文件为一个wireshark流量包文件

用wireshark打开该文件

 发现好多tcp和http的数据包,过滤该数据包

 选择一条http的数据包,右键选择数据流追踪

 发现有一段很长的代码,这段代码很像base64加密

在网上找一个base64解码工具

BASE64转图片 - 站长工具 - 极速数据 (jisuapi.com)icon-default.png?t=LA92https://tool.jisuapi.com/base642pic.html 解码该段代码后发现是一张图片,且该题flag就在图片上

 该题的flag为

flag{209acebf6324a09671abc31c869de72c}

BUUCTF Misc 部分(三)
葜。的博客
01-12 1731
九连环 下载附件 通过foremost分离出一个压缩文件,里面包含一张图片和另一个压缩文件,打开图片显示文件头损坏,用winhex打开,把08改成09保存便可以打开图片。 binwalk和foremost都没东西。看到文件名显示“已合并”,猜测steghide,但是没说密码, 空密码直接分离出ko.txt,里面就是另一个压缩包密码,打开即得flag。 面具下的flag 下载附件 foremost分...
buuctf misc 刷题记录
zx66661的博客
04-22 2376
目录 流量中的线索 荷兰宽带数据泄露 后门查杀 webshell后门 被劫持的神秘礼物 流量中的线索 下载后解压是一个数据包 过滤http追踪http 导出文件 下载下来打开fenxi.php发现最后有= 猜测是base64 在浏览器栏输 data:image/png;base64, 编码内容可以直接看到图片 荷兰宽带数据泄露 使用 RouterPassView 1.88 中文免费版 下载地址:https://www.onlinedown....
BUUCTF流量分析题
2301_76596810的博客
04-07 6477
CTFSHOW :(点击网址跳转)每道题都从以下模板讲解,并且每个步骤都有图片,清晰明了,便于复盘。
Wireshark(流量分析题)WP
Fear1e4的博客
03-11 1559
一个pcap包,一个hink。要我们找私钥,打开之后先用过滤找tcp包里带有“key”的。发现带有base64编码,追踪流拿出来用工具解码一下。没解出来,发现带着个png。下载下来发现里面看着像私钥。用ocr识别完,再纠正一下,用hink里的套一下。然后搜一下http传输内容,追踪一下流,发现flag。
buuctf_misc_流量中的线索
m0_73118788的博客
02-26 893
题目:(打开是个wireshark文件)(这要追踪从上往下最后一个HTTP昂)
流量分析-CTF-BUUCTF-数据包中的线索
theenderofroot的博客
04-12 1102
直接看状态码为200的包,追踪TCP流,发现末尾的等号,初步确定是base64编码,确定目标。2、在官网下载zip文件,解压后使用wireshark打开,在显示过滤器中搜索http。3、由于这段base64编码的长度过长,试了几个解码器都解不出来,怀疑是要转图片。用猫捉鱼铃里的工具箱直接梭哈。
从零开始做题:BUUCTF数据包中的线索-wp
weixin_44626085的博客
11-26 1326
其中HTTP流量传输的是浏览器与服务器直接读取解析响应的HTTP协议文本内容,而TCP在主要传输每次访问、响应中的大体积的数据。anaconda、miniconda和canda的区别Anaconda是一个打包的集合,里面预装好了conda、某个版本的python、众多packages、科学计算工具等等,相当于一个全家桶,里面的packages齐全。Miniconda,它只包含最基本的内容——python与conda,以及相关的必须依赖项,就只包含最基本的东西,其他的库得自己装。直接过滤http包4个。
BUUCTFwireshark流量分析题目writeup汇总
qq_49849300的博客
09-06 6673
1.Transfer-Encoding: chunked分块编码。筛选 URB_INTERRUPT in 的HID Data数据。2./9j是jpg文件头的base64编码。这中间一顿爆破爆不出来,还是得找流量。要密码,爆破试一下 5790。说明下载的是6666.jpg。
BUUCTF——MISC(流量分析)
m0_55854679的博客
07-25 5998
也可以使用关键词phpinfo(),仔细查看每一个符合要求的流量包,得到。提示告知是文件传输的流量,那进去过滤http流量包即可,找到关于。,发现flag正确,所以后面看见的邮箱也就不需要试了。等关键字的数据包,另存后使用记事本打开,即可看到。还是上一题的流量包,我们知道发送邮件的协议一般为。在上上一题中,我们得到了黑客的攻击IP。这里要找文件名,因为是后门文件,一般是。我们首先尝试第一眼看到的。,首先过滤一下这个IP;发现次数最多的IP地址。2.或者搜索字符串。...
BUUCTF-数据包中的线索
cdcdcdcd123132的博客
10-26 1497
流量分析是一种网络监控和安全分析的方法,它可以通过捕获和分析网络中的数据包,来发现网络的运行状况、性能、异常和威胁。流量分析可以帮助网络管理员和安全专家及时发现和解决网络问题,提高网络效率和安全性。这是一个关于网络流量分析的题目,给出了一个pcap文件,要求从中找出隐藏的flag。首先,我们下载并打开pcap文件,使用一款叫做Wireshark的网络协议分析工具来查看其内容。我们发现这个文件中只有很少的几个http流量包,所以我们决定先分析http流量
BUUCTF(Misc)——数据包中的线索
weixin_74738833的博客
04-09 1235
BUUCTF(Misc)——数据包中的线索
BuuCTF 数据包中的线索
qq_52907838的博客
08-06 843
下载附件,得到一个pcappng的文件: 看到这个后缀加上题目中有流量,就想到用wireshark打开,如果还不知道wireshark如何安装和使用可以看一下这篇文章:wireshark抓包新手使用教程 - 锅边糊 - 博客园 (cnblogs.com) 打开后看到TCP的包,直接过滤http的包,查看HTTP包,看到第二个HTTP包中有类似于base64加密的东西: 拿去解密:https://the-x.cn/base64 发现是图片,另存为图片: 得到答案。 ...
buuctf-misc-24.数据包中的线索
weixin_49765221的博客
05-03 1192
base64转图片
CTF 流量包相关-流量分析(1)
热门推荐
qq_56815564的博客
04-28 1万+
前面的flag不论是直接给你明文,还是有一定的编码,都是比较简单的,像这些十成甚至九成都会是签到题,所以了解一下知道有这种情况就好,重点不再这边另外这里还是给出一下风佬的脚本吧,虽然我感觉用到的几率应该不会很大,如果要用的话,那个破空查flag的工具应该会比较好用,下载的话,风佬的git里面应该有,这里就不给了。
wireshark、被嗅探的流量、数据包中的线索
weixin_50644728的博客
10-28 1634
Wireshark工具使用教程 安装链接: 工具介绍: Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码! 使用wireshark就得先了解网络协议,否则就看不懂wireshark了。为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。 wiresha
BUUCTF 数据包中的线索 1
YueXuan_521的博客
11-02 3836
BUUCTF 数据包中的线索 1 ,得到的都是乱码,没有有意义的文本。看了别人的题解,才知道解码出的内容是一个jpg图片的数据。我们使用这个Base64 在线网站,将得到的密文进行解码,网站提醒我们可以另存为jpg文件,点击另存为,我们会下载一张jpg图片。我们首先过滤HTTP流量,然后追踪HTTP流,找到很多的特殊信息,似乎经过Base64编码加密。公安机关近期截获到某网络犯罪团伙在线交流的数据包,但无法分析出具体的交流内容,聪明的你能帮公安机关找到线索吗?下载附件,解压得到一个.pcapng文件。
BUUCTF:数据包中的线索
2401_83972784的博客
10-24 1626
看见解码后的结果里面的开头有JFIF,很明显这是一张图片,这里可以先转十六进制再导入010或者winhex,当然还有更方便的随波逐流,直接用base64转图片。flag直接出现在图片里:flag{209acebf6324a09671abc31c869de72c}先追踪报红包体的TCP流看看怎么个事,找到一个访问fenxi.php页面的数据包。拿到题目数据包放进Wireshark中分析,可以看见已经有报红的包体了。下面一大堆编码,看着像是base64的编码,拿去解码试试再说。
【数据安全竞赛】BUUCTF·数据包中的线索
最新发布
mosan的博客
08-20 512
这是一道流量分析题,通过分析TCP流量包发现base64编码的字符串。经解码确认是JPG图片(识别"JFIF"文件头),使用Python脚本将base64转为字节对象后成功提取出包含flag的图片。关键点包括:Wireshark流量分析、JPG文件特征识别和Python转码脚本编写。
buuctfmisc流量分析
03-03
### BUUCTF MISC 类型题目流量分析技术细节 在处理BUUCTF MISC类型的流量分析题目时,通常涉及网络数据包捕获与解析。这类题目旨在考察参赛者在网络协议理解、工具使用以及数据分析方面的能力。 #### 工具准备 Wireshark 是最常用的抓包软件之一,在此类比赛中不可或缺[^1]。它能够实时捕捉通过计算机网卡的数据流,并提供强大的过滤功能来筛选特定条件下的报文。对于一些加密传输的内容,则可能需要用到其他辅助手段先解密再导入 Wireshark 进行深入研究。 #### 数据获取 当面对已给出的pcap文件时,可以直接将其加载至Wireshark中;如果是在线环境,则需利用wireshark/tshark命令行版本或其他方式完成现场采集工作。确保所收集的信息覆盖整个攻击面或交互过程,以便后续全面审查。 #### 初步探索 打开目标.pcapng 文件后,应立即查看概览统计图表以获得整体印象,比如会话数量、主要使用的端口和服务类型等基本信息。接着可以尝试应用显示滤镜(Display Filter),如`http`, `tcp.port==8080` 或更复杂的组合表达式,从而聚焦于感兴趣的通信部分[^2]。 #### 深入挖掘 针对某些特殊场景,例如隐藏消息嵌入HTTP头部字段的情况,可借助Python脚本编写自定义解析器,提取出非常规位置携带的有效载荷。下面是一个简单的例子: ```python from scapy.all import * def packet_callback(packet): if packet[TCP].payload: mail_packet = str(packet[TCP].payload) if "hidden_flag" in mail_packet.lower(): print(f"[+] Found hidden flag: {mail_packet}") sniff(filter="tcp port 80", prn=packet_callback, store=0) ``` 此代码片段展示了如何监听指定TCP端口上的活动,并对符合条件的数据包执行回调函数进一步处理。 #### 结果验证 最后一步是对发现的关键线索进行交叉核验,确认其真实性及价值所在。这往往涉及到与其他渠道获取的情报相匹配,或是按照提示继续追踪剩余环节直至最终取得Flag。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值