Buuctf 流量中的线索

最新推荐文章于 2025-04-09 08:45:58 发布
最新推荐文章于 2025-04-09 08:45:58 发布
阅读量3.6k 收藏 1
点赞数 2
CC 4.0 BY-SA版权
分类专栏: Buuctf Misc 文章标签: 安全 加密解密 wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Dexret/article/details/121410279
本文介绍如何使用Wireshark工具捕获并分析网络流量中的HTTP数据包,通过过滤和追踪特定HTTP数据流,发现了一段疑似Base64编码的内容。利用在线解码工具将该编码转换成图片,并成功找到挑战标识(flag)。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

下载该文件,发现该文件为一个wireshark流量包文件

用wireshark打开该文件

 发现好多tcp和http的数据包,过滤该数据包

 选择一条http的数据包,右键选择数据流追踪

 发现有一段很长的代码,这段代码很像base64加密

在网上找一个base64解码工具

BASE64转图片 - 站长工具 - 极速数据 (jisuapi.com)icon-default.png?t=LA92https://tool.jisuapi.com/base642pic.html 解码该段代码后发现是一张图片,且该题flag就在图片上

 该题的flag为

flag{209acebf6324a09671abc31c869de72c}

wireshark、被嗅探的流量、数据包中的线索
weixin_50644728的博客
10-28 1600
Wireshark工具使用教程 安装链接: 工具介绍: Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码! 使用wireshark就得先了解网络协议,否则就看不懂wireshark了。为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。 wiresha
从零开始做题:BUUCTF数据包中的线索-wp
weixin_44626085的博客
11-26 1239
其中HTTP流量传输的是浏览器与服务器直接读取解析响应的HTTP协议文本内容,而TCP在主要传输每次访问、响应中的大体积的数据。anaconda、miniconda和canda的区别Anaconda是一个打包的集合,里面预装好了conda、某个版本的python、众多packages、科学计算工具等等,相当于一个全家桶,里面的packages齐全。Miniconda,它只包含最基本的内容——python与conda,以及相关的必须依赖项,就只包含最基本的东西,其他的库得自己装。直接过滤http包4个。
buuctf_misc_流量中的线索
m0_73118788的博客
02-26 803
题目:(打开是个wireshark文件)(这要追踪从上往下最后一个HTTP昂)
流量分析-CTF-BUUCTF-数据包中的线索
theenderofroot的博客
04-12 966
直接看状态码为200的包,追踪TCP流,发现末尾的等号,初步确定是base64编码,确定目标。2、在官网下载zip文件,解压后使用wireshark打开,在显示过滤器中搜索http。3、由于这段base64编码的长度过长,试了几个解码器都解不出来,怀疑是要转图片。用猫捉鱼铃里的工具箱直接梭哈。
BUUCTF-数据包中的线索
cdcdcdcd123132的博客
10-26 1400
流量分析是一种网络监控和安全分析的方法,它可以通过捕获和分析网络中的数据包,来发现网络的运行状况、性能、异常和威胁。流量分析可以帮助网络管理员和安全专家及时发现和解决网络问题,提高网络效率和安全性。这是一个关于网络流量分析的题目,给出了一个pcap文件,要求从中找出隐藏的flag。首先,我们下载并打开pcap文件,使用一款叫做Wireshark的网络协议分析工具来查看其内容。我们发现这个文件中只有很少的几个http流量包,所以我们决定先分析http流量
BUUCTF(Misc)——数据包中的线索
最新发布
weixin_74738833的博客
04-09 991
BUUCTF(Misc)——数据包中的线索
BUUCTF杂项题】数据包中的线索、另外一个世界、神秘龙卷风
Power的博客
01-21 902
Wireshark打开,发现有绿色http统计一下http请求发现可疑fenxi.php追踪整个包明显一堆字符串像Base64解码看看,发现是jpg图片解码方法:方法1:复制到随波逐流base64方法2:在wireshark中找到返回包中字符(因为是紫色就是追踪流的返回包)位置显示分组字节然后解码为base64解码后就知道了图片十六进制对应的ASCII码转换为图片就行方法1:随波主流解码完右键另存为以.jpg为后缀的十六进制文件。
BUUCTF Misc 部分(三)
葜。的博客
01-12 1699
九连环 下载附件 通过foremost分离出一个压缩文件,里面包含一张图片和另一个压缩文件,打开图片显示文件头损坏,用winhex打开,把08改成09保存便可以打开图片。 binwalk和foremost都没东西。看到文件名显示“已合并”,猜测steghide,但是没说密码, 空密码直接分离出ko.txt,里面就是另一个压缩包密码,打开即得flag。 面具下的flag 下载附件 foremost分...
buuctf-MISC做题笔记(5)
Seven1_xwx的博客
06-20 2316
buuctf-MISC做题笔记(5)
BUUCTF-misc刷题
2302_80935968的博客
05-27 1159
打开附件发现是一个.jpg文件,继续用二进制编辑器打开仔细寻找发现里面有两个FF D8 FF,所以有两个.jpg文件,我们将这两个文件进行分离发现什么信息都没有,相反在源文件的基础上,我们直接搜索flag(66 6C 61 67)反而很轻易的看到了flag。下载好附件之后是一个.jpg文件,但是题目说保险箱有一个四位数的密码,因此我们猜测在这个.jpg文件中肯定还隐藏了其他文件,我们用二进制编辑器打开这个文件。说明这里还藏着一个.rar文件,那就很easy了,还是老规矩,我们把.rar文件分离出来。
BuuCTF 数据包中的线索
qq_52907838的博客
08-06 808
下载附件,得到一个pcappng的文件: 看到这个后缀加上题目中有流量,就想到用wireshark打开,如果还不知道wireshark如何安装和使用可以看一下这篇文章:wireshark抓包新手使用教程 - 锅边糊 - 博客园 (cnblogs.com) 打开后看到TCP的包,直接过滤http的包,查看HTTP包,看到第二个HTTP包中有类似于base64加密的东西: 拿去解密:https://the-x.cn/base64 发现是图片,另存为图片: 得到答案。 ...
buuctf-misc-24.数据包中的线索
weixin_49765221的博客
05-03 995
base64转图片
CTF 流量包相关-流量分析(1)
热门推荐
qq_56815564的博客
04-28 1万+
前面的flag不论是直接给你明文,还是有一定的编码,都是比较简单的,像这些十成甚至九成都会是签到题,所以了解一下知道有这种情况就好,重点不再这边另外这里还是给出一下风佬的脚本吧,虽然我感觉用到的几率应该不会很大,如果要用的话,那个破空查flag的工具应该会比较好用,下载的话,风佬的git里面应该有,这里就不给了。
BUUCTF 数据包中的线索 1
YueXuan_521的博客
11-02 2847
BUUCTF 数据包中的线索 1 ,得到的都是乱码,没有有意义的文本。看了别人的题解,才知道解码出的内容是一个jpg图片的数据。我们使用这个Base64 在线网站,将得到的密文进行解码,网站提醒我们可以另存为jpg文件,点击另存为,我们会下载一张jpg图片。我们首先过滤HTTP流量,然后追踪HTTP流,找到很多的特殊信息,似乎经过Base64编码加密。公安机关近期截获到某网络犯罪团伙在线交流的数据包,但无法分析出具体的交流内容,聪明的你能帮公安机关找到线索吗?下载附件,解压得到一个.pcapng文件。
BUUCTF:数据包中的线索
2401_83972784的博客
10-24 1440
看见解码后的结果里面的开头有JFIF,很明显这是一张图片,这里可以先转十六进制再导入010或者winhex,当然还有更方便的随波逐流,直接用base64转图片。flag直接出现在图片里:flag{209acebf6324a09671abc31c869de72c}先追踪报红包体的TCP流看看怎么个事,找到一个访问fenxi.php页面的数据包。拿到题目数据包放进Wireshark中分析,可以看见已经有报红的包体了。下面一大堆编码,看着像是base64的编码,拿去解码试试再说。
BUUCTF-MISC-数据包中的线索
2301_80480838的博客
05-08 679
追踪TCP流,在第七段发现base64编码。解压之后可以看到一段截取的数据包。先把这段base64编码解码,
BUUCTF---数据包中的线索1
2201_75556700的博客
03-03 872
6.正常拿去解码,发现base64解不出,考虑到这可能会是犯罪分子聊天记录截图,拿去base转图片。4.这条数据流是http,且使用GET方式,接下来我们使用http.request,method==GET。3.放在wireshark中,仔细观察数据流,会发现有个叫fenxi.php的数据流。5.在分析栏中我们追踪http数据流,得到数据如下。2.下载附件,是一个.pcap文件。
buuctf misc 数据包中的线索
weixin_44110537的博客
08-30 1314
base64 转图片 import base64 f=open('..\ccc','r').readlines() img='' for i in f: img+=i.strip() imgdata = base64.b64decode(img) file = open('1.jpg', 'wb') file.write(imgdata) file.close()
BUUCTFwireshark流量分析题目writeup汇总
qq_49849300的博客
09-06 5747
1.Transfer-Encoding: chunked分块编码。筛选 URB_INTERRUPT in 的HID Data数据。2./9j是jpg文件头的base64编码。这中间一顿爆破爆不出来,还是得找流量。要密码,爆破试一下 5790。说明下载的是6666.jpg。
buuctf misc数据包中的线索
12-28
### BUUCTF 杂项数据包线索解析 #### 文件分析与处理方法 对于BUUCTF杂项(miscellaneous, MISC)题目,通常涉及多种类型的文件和编码方式。当面对复杂的数据包时,细致入微的文件结构探索至关重要。 在某些情况下,在文件尾部可能存在隐藏的压缩包,通过特定工具单独提取可以获取额外资源,例如文档或其他形式的秘密信息[^1]。这种技术常用于隐蔽通信或作为CTF竞赛的一部分挑战参赛者的技术能力。 针对具体实例,“福利.docx”内含有的二维码链接指向最终的目标字符串(flag)。然而,初次获得的结果可能并非直接可用的形式;有时需要进一步转换才能匹配预期格式。比如大小写的调整或是去除不必要的前缀字符来修正错误提交尝试[^2]。 #### 隐写术的应用场景 隐写术是指将秘密消息嵌入看似无害载体之中而不引起注意的方法之一。如果常规手段未能立即揭示潜在有用的信息,则应考虑是否存在更深层次上的隐藏内容。尽管初步检查未见明显异常,但仍需深入探究其他可能性,如图像、音频甚至视频内的细微改动之处[^3]。 #### 虚拟磁盘映像文件(VMDK) 遇到虚拟硬盘镜像(vmdk)类目标对象时,利用专门软件如7-Zip可以在Linux发行版下的终端环境中轻松读取其内部构成要素。此过程中可能会揭露多个组成部分,其中一些可能是解开谜题的关键所在——就像案例中提到过的`key_part_one` 和 `key_part_two`两个重要片段一样[^4]。 #### 文本中的直白提示 有时候最简单的方式就是直接查看整个文本内容而无需过多复杂的操作。在一个例子里面,仅仅浏览网页源代码就能轻易找到被标记出来的关键字眼及其后续跟随的确切答案:“flag{st3g0_saurus_wr3cks}”。这表明并不是所有的解决方案都需要绕很大圈子去寻找,偶尔也会存在相对直观明了的情况[^5]。 ```python import qrcode from PIL import Image def read_qr_code(image_path): img = Image.open(image_path) qr_reader = qrcode.QRCode() qr_reader.add_data(img) flag = qr_reader.make(fit=True).data.decode('utf-8') return flag.lower().replace("ctf", "") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值