CTF基本解题思路-杂项-(4)流量取证

原创 已于 2024-01-16 17:38:39 修改 · 1.2k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #安全

于 2024-01-16 17:35:09 首次发布

目录

1.流量包分析

1.过滤报文

2.协议分级

3.流汇聚

2. 找到getshell

1.通过contain语句查找关键字"command"

2.点击查看包,下方会显示这个包的信息,找到含有命令行的包,然后追踪流

​3.发现痕迹

3.数据提取

1.提取http对象

2.查看内容

4.无线流量包(特殊)

 1.wifi密码破解

5.usb流量(难) 

1. 流量提取

6.https流量分析

描述

必要工具:Wireshark

教程:  https://blog.youkuaiyun.com/zzwwhhpp/article/details/113077747

1.流量包分析

1.过滤报文

 

2.协议分级

好处:清楚地统计数据包里流量的占比

3.流汇聚

好处:流汇聚能够将来自不同数据源的数据重组成统一的易读格式,使得用户可以更加直观地分析和理解数据流

 例如常考的http流,我们会很熟悉

flag常在位置:

2. 找到getshell

shell:命令行的操作方式,比如在终端执行命令

如果你的服务器被别人入侵,执行了一些命令,那么这些命令在数据包里就可以查看

1.通过contain语句查找关键字"command"

2.点击查看包,下方会显示这个包的信息,找到含有命令行的包,然后追踪流

3.发现痕迹

 flag可能在里面,或者以编码形式存在,解码即可

3.数据提取

1.提取http对象

2.查看内容

flag可能在这些文件里以编码形式存在,需要我们解码

 3.手动提取

如果提取的对象里面没有你想要的内容,可以尝试手动提取

4.无线流量包(特殊)

 1.wifi密码破解

5.usb流量(难) 

1. 流量提取

6.https流量分析

 

CTF MISC 3压缩文件处理&4流量取证技术
m0_67837149的博客
07-24 424
CTF MISC 3压缩文件处理&4流量取证技术
CTF通过Wireshark对USB流量取证分析题
Mark的博客
11-19 9797
流程: 1、先过滤保存flag部分 通过usb.src =="1.3.1"过滤 然后文件导出特定分组得到具体的流量包 2、进行提取Data块(有点艰难) A:在winshark中提取不带冒号的4个字节 ./tshark -r 6.pcapng -T fields -e usb.capdata > out.txt B:可以利用脚本在每两个字节中加上冒号也可以像我用excel(万年office老手)利用数据中的分列分取出四个字节然后用&加冒号连接起来,最后利用ctrl+shift+Enter+↓
流量分析、取证
xxfsa的博客
12-06 1578
筛选地址usb.addr==2.8.1 usb.addr==2.10.1 分别导出特定分组。得到的2.8.1.txt结尾处多一个空行,键盘流量脚本跑完得到的结果多一个字符。追踪TCP流发现flag.zip,其实可以直接kali foremost出来。wiresahrk打开流量包,直接usb.data_len==8筛选。发现压缩包有密码,接着追踪,在流7中找到password。得到2.8.1.pcapng 2.10.1pcapng。解密提取2.10.1.txt之后得到密码。解开压缩包得到flag。
CTF——杂项3.流量取证技术
woo233的博客
09-09 4352
先用wireshark筛选http的流量,假如没有则筛选tcp的流量,因为getshell是在命令行中执行的,可以用tcp contains “command”在关注的http.数据包或tcp数据包中选择流汇聚,可以将HTTP流或TCP流汇 聚或还原成数据,在弹出的框中可以看到数据内容。在关注的http.数据包或cp数据包中选择流汇聚,可以将HTTP 流或TCP流汇聚或还原成数据,在弹出的框中可以看到数据内容。比如查看数据包的时候,有的数据包有某种特征,比如有http(80)。Data数据单独复制出来。
CTF 流量包相关-流量分析(1)
qq_56815564的博客
04-28 1万+
前面的flag不论是直接给你明文,还是有一定的编码,都是比较简单的,像这些十成甚至九成都会是签到题,所以了解一下知道有这种情况就好,重点不再这边另外这里还是给出一下风佬的脚本吧,虽然我感觉用到的几率应该不会很大,如果要用的话,那个破空查flag的工具应该会比较好用,下载的话,风佬的git里面应该有,这里就不给了。
CTF杂项解题思路探究.zip
02-26
"CTF杂项解题思路探究"通常指的是那些无法归类到特定领域的题目,它们可能涉及多种技能的综合运用。本压缩包中的资源提供了对这类问题解决方法的探讨。 首先,"分享地址.txt"可能是包含一些链接或者线索的文本文件...
精选资源
工匠杯-CTF(题目+exp+解题思路
04-01
解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。题目主要包含逆向、...
杂项题的基本解题思路——4流量取证技术
_Co1a
10-31 2122
流量包文件分析 流量包就是说我向你传递的时候,把你传递过程中的数据抓取下来,保存成一个文件 流量取证技术就是说:题目会给你一个流量包,你要在流量包里面找到相应的一些文件(有时候flag值就藏在流量包的某一个位置) ①wirkshark工具 查看自己的电脑有没有安装wireshark:win+R——》输入wireshark看能不能打开 kaliLinux自带了wireshark 利用wirkshark工具的过滤器功能 常用的过滤命令 1、 过滤IP 如过滤源IP或者目的IP ip.src eq x.x
精选资源
CTF-Misc实战技巧:从入门到精通的完整指南
最新发布
06-03
本文将系统介绍CTF-Misc类题目的解题思路和实用技巧,帮助安全爱好者提升实战能力。 --- CTF-Misc基础概念 1.1 Misc题目特点与分类 Misc题目通常具有以下特点: 题型多样:常见包括但不限于: 隐写术(图片、音频、...
杂项基本解题思路(2)——压缩文件处理
qq_42812036的博客
05-15 1618
文件操作隐写 图片隐写 压缩文件处理 流量取证技术 压缩文件分析 ctf题给出压缩包,然后要去对压缩包分析。 1、伪加密 如果压缩文件是加密的,或文件头正常但压缩错误,首先尝试文件是否为伪加密。 zip文件是否加密通过文件标识符来显示的,在每个文件的文件目录字段有一位专门标识了文件是否加密,将其设置为00,表示该文件未加密,并且呢,解压成功的话,表示伪加密,否则,它很可能真的是一个加密压缩包。...
CTF取证类题目指南
01-09
CTF中,取证赛题包括了文件分析、隐写、内存镜像分析和流量抓包分析。任何要求检查一个静态数据文件(与可执行程序和远程服务器不同)从而获取隐藏信息的都可以被认为是取证题(除非它包含了密码学知识而被认为是密码类赛题)。 取证作为CTF中的一大类题目,不完全包括安全产业中的实际工作,常见的与之相关的工作是事故相应。但即使在事故响应工作中,计算机取证也经常是执法部门获取证据数据和证物的工作,而非对防御攻击者或恢复系统感兴趣的商业事故相应企业。
CTF——流量分析题型整理总结
热门推荐
小锤队长的博客
12-19 5万+
我见过的流量分析类型的题目总结: 一,ping 报文信息 (icmp协议) 二,上传/下载文件(蓝牙obex,http,难:文件的分段上传/下载) 三,sql注入攻击 四,访问特定的加密解密网站(md5,base64) 五,后台扫描+弱密码爆破+菜刀 六,usb流量分析 七,WiFi无线密码破解 八,根据一组流量包了解黑客的具体行为 例题: 一,ping 报文信息 (icm...
2020天津市ctf大赛之usb数据包流量分析题
weixin_44145452的博客
10-05 4951
1.鼠标流量分析 1.常用命令 tshark -r usb.pcap -T fields -e usb.capdata > usbdata.txt 如果提取出来的数据有空行,可以将命令改为如下形式: tshark -r usb2.pcap -T fields -e usb.capdata | sed '/^\s*$/d' > usbdata.txt 如果提取出来的数据没有冒号,可以用脚本来加上冒号(因为一般的脚本都会按照有冒号的数据来识别,有冒号时提取数据的[6:8],“无冒号时数据在[5:
CTF入门Misc之流量分析系列——USB流量
xcellencw的博客
02-23 1396
声明:为了方便查找题目类型和基本做题思路,所以本人作文章为笔记,必然有不足之处,请指正。USB流量分析主要包括键盘和鼠标流量。。键盘流量中数据包的数据长度一般为 8 个字节,鼠标流量中数据包的数据长度一般为 4个字节。然后再查看HID Data(或Leftover Capture Data)的数据,就是传输的USB信息。
CTF流量分析--802.11
MuMuLee_的博客
03-30 3888
无线密码破解题 一、wifi–wirelessLan–802.11 打开一个pcap文件,里面只有wireless LAN 协议,很有可能是WPA或WEP加密后的无线数据包。 二、使用工具:aircrack-ng 官网下载就行了:http://www.aircrack-ng.org/ (另一个链接:https://blog.youkuaiyun.com/zhou191954/article/details/4...
CTF(misc) USB流量截取(键盘)
m0_59197314的博客
07-26 1468
解压文件后获得一个flag.pcap流量包,用wireshark打开,右键红圈部分选择应用为列出现相关数据。使用脚本提取出对应的键盘字母,最终获得flag,注意下格式改下大小写。使用tshark工具将所需信息保存到usbdata.txt文件中。将文件用脚本分隔,获得out.txt文件。
CTF_MISC_usb流量分析_攻防世界 m0_01
二进制忍者村
11-25 621
【代码】CTF_MISC_usb流量分析_攻防世界 m0_01。
CTF】USB流量分析详解
leo788的博客
02-27 1200
USB流量即USB设备接口的流量CTF中主要以键盘和鼠标流量为主。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

叶枯雪落光仍在

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值