陇剑杯2021 - 流量分析 Writeup题目解析

最新推荐文章于 2025-12-14 22:07:00 发布
原创 最新推荐文章于 2025-12-14 22:07:00 发布 · 160 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #系统安全 #web安全 #安全 #可信计算技术 #安全架构 #计算机网络

2025博客之星年度评选已开启 10w+人浏览 852人参与

陇剑杯2021 - 流量分析 Writeup

1. 静态分析 (IDA)

首先,对提供的相关可执行文件进行静态分析。

  • 在 IDA Pro 中加载程序,使用 “Strings” 视图 (Shift+F12) 查找可疑字符串。

  • 发现 Login Successful! 字符串,暗示程序可能包含认证或登录逻辑。
    在这里插入图片描述

  • 双击 Login Successful! 跳转到其在代码中的引用位置。分析上下文,注意到附近存在 P05= 字符串。这看起来像一个自定义协议的标识符或魔术字 (Magic Number)。
    在这里插入图片描述

2. Pcap 包初步分析

接下来,分析提供的 .pcap 流量包。

  • 使用 Wireshark 打开 pcap 文件。

  • 观察到多个数据包(特别是 UDP 包)的 Data 段(Payload)以 P05= 开头。
    在这里插入图片描述

  • 结合 IDA 中发现的 Login Successful!P05=,可以推断这是一种自定义的应用层协议,P05= 是其标识,并且可能涉及认证过程。数据部分看起来杂乱,有加密的可能性。

3. 协议细节分析与解密准备

  • 加密猜测: 数据部分看起来像密文。根据经验,推测可能使用了对称加密算法,如 AES。

  • 数据格式转换: 为了更方便地进行脚本化分析,可以将 pcap 文件转换为更易于处理的格式,例如 JSON。可以使用 tshark 命令:

    tshark -r your_capture.pcap -T json > capture.json

    在这里插入图片描述

  • 协议字段分析: 在 JSON 文件中搜索 UDP 载荷 (udp.payload) 或直接在 Wireshark 中分析 P05= 之后的数据。

    • 发现 P05= 之后的第一个字节(即整个 UDP 载荷的第 5 个字节,索引为 4)的值变化非常有规律。
    • 这个字节很可能代表数据包类型功能码
    • 通过观察不同类型值的数据包内容和交互流程,可以确定:当该字节值为 01 时,数据包似乎用于交换密钥。其他值可能对应登录、数据传输等操作。
      在这里插入图片描述

4. 编写脚本进行解密与分析

  • 目标: 编写 Python 脚本,自动化处理流量数据,提取密钥并解密通信内容。
  • 脚本逻辑:
    1. 解析 pcap 文件或转换后的 JSON 文件。
    2. 识别通信双方(根据源/目的 IP 地址对)。
    3. 查找每个通信会话中类型为 01 的数据包,根据协议逻辑提取交换的密钥信息。
    4. 使用提取到的密钥,对该会话中其他类型的数据包载荷(除去 P05= 和类型字节)进行解密。
    5. 分析解密后的明文数据。
  • 结果: 运行脚本批量处理所有通信流。在解密后的数据中查找异常或关键信息,最终找到 Flag。
    在这里插入图片描述
BugkuCTF(old)----流量分析题目Writeup
Au
09-26 2113
flag被盗 文件不是很大,粗略看了一下,发现了shell.php字段 筛选为http流量,追踪TCP查看 直接得到flagflag{This_is_a_f10g} 中国菜刀 下载解压得到数据包,比较小只有7kb 只有TCP和HTTP协议流量,追踪TCP流查看,发现flag.tar.gz压缩包 使用kali集成的 binwa...
2021-05-03Wireshark流量包分析
m0_37442062的博客
05-03 3787
目录 WEB扫描分析 后台目录爆破分析 后台账号爆破 WEBSHELL上传 其他题目 参考链接 WEB数据包分析的题目主要出现WEB攻击行为的分析上, 典型的WEB攻击行为有:WEB扫描、后台目录爆破、后台账号爆破、WEBSHELL上传、SQL注入等等。 WEB扫描分析 题型: 通过给出的流量包获取攻击者使用的WEB扫描工具。 解题思路: 常见的WEB扫描器有Awvs,Netsparker,Appscan,Webinspect,Rsas(绿盟极光),Nessus,We...
2021陇剑部分wp
hezhing
11-03 1571
2021陇剑 全是流量分析。麻了。只做了一部分。 参考链接 陇剑 个人 ’WriteUp-魔法少女雪殇 (snowywar.top) 陇剑Writeup(部分) - 惊觉 (leheavengame.com) 1.签到 题目描述: 网关小王在上网途中发现自己的网络访问异常缓慢,于是对网络出口捕获了流量,请您分析流量后进行回答: 1.1:     #### 题目:     此时正在进行的可能是http 协议的网络攻击。
WriteUp - 江苏省领航 CTF 2024
焦虑的焦虑
10-14 6463
2024江苏省领航线上初赛WP(本科组/高职组)
首届“盘古石”全国电子数据取证大赛决赛 流量分析 writeup
qq_43717836的博客
06-12 2332
首届“盘古石”全国电子数据取证大赛决赛的题量还挺大的,由于还有工作,就慢些做吧。
2025年Solar应急响应公益月赛-10月Writeup
chinese_cabbage0的博客
12-04 839
2025年Solar应急响应公益月赛-10月Writeup
玄机——第六章-哥斯拉4.0流量分析 wp
焦虑的焦虑
09-30 6240
第六章-哥斯拉4.0流量分析
【转载】安恒八月月赛流量分析writeup
gclome的博客
08-25 3629
本文转载自:https://www.cnblogs.com/sn1per/p/12553064.html 一、题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是
2021年云南省职工职业技能大赛CTF流量分析题(wireshark)WriteUp
weixin_43137410的博客
10-09 4802
2021年云南省职工职业技能大赛CTF流量分析题(wireshark)WriteUp .0x00 前言 本人作为业余爱好者参加了2021年云南省职工职业技能大赛的网络安全比赛,比赛形式以CTF+理论考核+模拟渗透的形式,今天分享一题流量分析题的解题过程。 0x01 题目分析 题目名很直接,就叫wireshark,将压缩文件解压之后是一张名为“target.jpeg”的图片。 0x02 解析图片 目标明确,直接上binwalk。 通过binwalk分析,图片内还藏有一个zip压缩文件,使用命令 binwal
【Misc刷题全攻略】:揭秘陇剑2021十大真题解法与CTF隐写术核心技巧
而在CTF(Capture The Flag)竞赛里,**Misc(杂项)题型正是这一现实世界的高度浓缩模拟**——它不拘泥于单一技术领域,而是将隐写、编码、流量分析、文件修复等能力熔于一炉,考验选手是否具备“数字侦探”般的...
强网 WriteUp By Nu1L
08-02
《强网 WriteUp By Nu1L》是关于2022年第六届“强网”全国网络安全挑战赛的一份技术分析报告,由Nu1L团队撰写。在这篇WriteUp中,作者分享了他们在竞赛中遇到的各种挑战和解决策略,涵盖了Pwn、Reverse、Find_...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8846
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
计算系统安全速成之机器级编程(数组和指针)【3】
缘友一世的博客
12-14 824
计算系统安全速成之机器级编程(数组和指针)【3】
redis day1
m0_63860007的博客
12-10 215
1.2.是指程序在申请内存后,,导致可用内存逐渐减少,最终可能引发程序崩溃或系统性能下降。
计算系统安全速成之内存层次结构【5】
最新发布
缘友一世的博客
12-14 655
计算系统安全速成之内存层次结构
计算系统安全速成之内存布局与缓冲区溢出攻击【4】
缘友一世的博客
12-14 514
计算系统安全速成之内存布局与缓冲区溢出攻击
系统安全角度方面看注册表项Windows NT与Windows的区别
Bruce_xiaowei的博客
12-13 415
注册表安全分析:Windows NT与Windows项的核心差异 从系统安全视角,Windows NT注册表项(HKLM\SOFTWARE\Microsoft\Windows NT)作为核心安全配置库,包含SAM凭证、LSA策略、Winlogon挂钩等高危区域,是红队提权/持久化的关键目标,也是蓝队安全加固的重点。而Windows注册表项(HKLM\SOFTWARE\Microsoft\Windows)更多涉及用户级攻击面,如自启动项、文件关联劫持和旧组件漏洞利用。两者在威胁类型(内核级vs用户级)、权限要
Windows系统sc命令:系统安全防护的实用工具
Bruce_xiaowei的博客
12-14 595
Windows系统内置的sc命令是服务管理的强大工具,在系统安全防护中具有重要作用。通过sc命令可以查询服务状态、识别可疑服务(检查异常路径)、停止和禁用恶意服务、彻底删除服务残留,还能修改服务权限防止篡改。该命令支持远程管理,适合企业运维环境。使用时需以管理员身份运行,谨慎操作系统核心服务,建议结合杀毒软件等其他工具使用。掌握sc命令的基本操作(查询、停止、删除服务)能有效提升系统安全防护能力,但需配合日常安全习惯如及时更新补丁、安装杀毒软件等,才能实现最佳防护效果。
网络安全-文件上传漏洞
m0_56970656的博客
12-09 275
文件上传漏洞是攻击者通过文件上传点上传恶意文件,如木马、脚本等,最终一般会通过shell管理工具(如蚁剑、哥斯拉等)连接从而控制系统的漏洞、
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值