BUUCTF-数据包中的线索

原创 已于 2023-10-26 18:28:40 修改 · 1.5k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

于 2023-10-26 18:27:57 首次发布
文章讲述了如何通过网络流量分析,使用Wireshark工具解析PCAP文件,识别出隐藏在HTTP包中的Base64编码信息,最终找到flag的过程,推荐在BUUCTF平台实践流量分析技能。

BUUCTF在线评测 (buuoj.cn)

流量分析是一种网络监控和安全分析的方法,它可以通过捕获和分析网络中的数据包,来发现网络的运行状况、性能、异常和威胁。流量分析可以帮助网络管理员和安全专家及时发现和解决网络问题,提高网络效率和安全性。

这是一个关于网络流量分析的题目,给出了一个pcap文件,要求从中找出隐藏的flag。

首先,我们下载并打开pcap文件,使用一款叫做Wireshark的网络协议分析工具来查看其内容。我们发现这个文件中只有很少的几个http流量包,所以我们决定先分析http流量。

我们按照数据量的大小来排序http流量包,发现有一个数据量最大的包,编号为142。我们右键点击这个包,选择追踪TCP流的选项,来查看这个包的完整内容。我们发现这个包中有一段很长的字符串,看起来像是base64编码。

我们将这个字符串复制到一个在线的base64解码网站https://the-x.cn/base64上,进行解码。

我们得到了一个jpg图片文件,保存并打开它,就看到了flag。

Flag:

flag{209acebf6324a09671abc31c869de72c}

这就是我为你介绍的流量分析的知识,希望你能有所收获。流量分析是一门非常有用和有趣的技能,它可以让你洞察网络的奥秘,发现网络的问题,保护网络的安全。如果你想要练习和提高你的流量分析能力,你可以在BUUCTF平台上参与一些流量分析的题目,挑战自己的极限。

cdcdcdcd123132
关注
BUUCTF misc 专题(27)数据包中的线索
tt_npc的博客
11-16 3162
下载以后直接用wireshark打开找到黑色框框这一条 我们用TCP追踪流进行追踪 我们可以发现下面这段代码很像base64加密类型 那么我们进行解密 Base64解码 Base64编码 UTF8 GB2312 UTF16 GBK 二进制 十六进制 解密 - The X 在线工具 最终我们可以在右下角找到另存文件为jpg格式 就出来了一张路飞的图片答案也就在他头上啦 flag{209acebf6324a09671abc31c869de72c} ...
2021/3/21 数据包中的线索BUUCTF
brightendavid的博客
03-21 739
https://buuoj.cn/challenges#%E6%95%B0%E6%8D%AE%E5%8C%85%E4%B8%AD%E7%9A%84%E7%BA%BF%E7%B4%A2 题目描述如上 我们拿到了一个流量包 老办法:先搜索一下字符串flag,发现找不到(万事休矣-----) 不知道为什么需要追踪http 流,那么发现找到的包里面很可能是base64编码。 https://the-x.cn/base64 下载文件,即可得到flag ...
buuctf misc 刷题记录
zx66661的博客
04-22 2378
目录 流量中的线索 荷兰宽带数据泄露 后门查杀 webshell后门 被劫持的神秘礼物 流量中的线索 下载后解压是一个数据包 过滤http追踪http 导出文件 下载下来打开fenxi.php发现最后有= 猜测是base64 在浏览器栏输 data:image/png;base64, 编码内容可以直接看到图片 荷兰宽带数据泄露 使用 RouterPassView 1.88 中文免费版 下载地址:https://www.onlinedown....
BUUCTF---数据包中的线索1
2201_75556700的博客
03-03 977
6.正常拿去解码,发现base64解不出,考虑到这可能会是犯罪分子聊天记录截图,拿去base转图片。4.这条数据流是http,且使用GET方式,接下来我们使用http.request,method==GET。3.放在wireshark中,仔细观察数据流,会发现有个叫fenxi.php的数据流。5.在分析栏中我们追踪http数据流,得到数据如下。2.下载附件,是一个.pcap文件。
从零开始做题:BUUCTF数据包中的线索-wp
weixin_44626085的博客
11-26 1352
其中HTTP流量传输的是浏览器与服务器直接读取解析响应的HTTP协议文本内容,而TCP在主要传输每次访问、响应中的大体积的数据。anaconda、miniconda和canda的区别Anaconda是一个打包的集合,里面预装好了conda、某个版本的python、众多packages、科学计算工具等等,相当于一个全家桶,里面的packages齐全。Miniconda,它只包含最基本的内容——python与conda,以及相关的必须依赖项,就只包含最基本的东西,其他的库得自己装。直接过滤http包4个。
20220216-MISC-BUUCTF-后门查杀(D盾使扫描)-数据包中的线索(base64转图片)
qq_51550750的博客
02-16 4198
MISC-BUUCTF-后门查杀 小白的网站被小黑攻击了,并且上传了Webshell,你能帮小白找到这个后门么?(Webshell中的密码(md5)即为答案)。 注意:得到的 flag 请包上 flag{} 提交 【1】下载附件是一个RAR文件: 【2】D盾扫描: flag{6ac45fb83b3bc355c024f5034b947dd3} 后门查杀–解体总结: 根据题目提示“上传了Webshell,你能帮小白找到这个后门么?(Webshell中的密码(md5)即为答案)” 直接使用工具D
buuctf-MISC做题笔记(5)
Seven1_xwx的博客
06-20 2443
buuctf-MISC做题笔记(5)
CTF类题目复现总结-数据包中的线索 1
weixin_42487326的博客
02-26 713
CTF类题目复现总结-数据包中的线索 1
buuctf-数据包中的线索1
2301_79968824的博客
12-19 1112
5.选中编码去解码,下面是数据头和尾的截图(因为自己错几次,最后面多了个0要去掉)3.发现有一个状态值200的看看,有点问题底下一大串可能是base64编码。1.下载打开得到一个数据包,用wireshark打开。6.然后让保存为图片格式,打开得到flag。2.筛选一下http的流。
BUUCTF杂项题】数据包中的线索、另外一个世界、神秘龙卷风
Power的博客
01-21 1089
Wireshark打开,发现有绿色http统计一下http请求发现可疑fenxi.php追踪整个包明显一堆字符串像Base64解码看看,发现是jpg图片解码方法:方法1:复制到随波逐流base64方法2:在wireshark中找到返回包中字符(因为是紫色就是追踪流的返回包)位置显示分组字节然后解码为base64解码后就知道了图片十六进制对应的ASCII码转换为图片就行方法1:随波主流解码完右键另存为以.jpg为后缀的十六进制文件。
BUUCTF(Misc)——数据包中的线索
weixin_74738833的博客
04-09 1274
BUUCTF(Misc)——数据包中的线索
BUUCTF MISC——数据包中的线索
m0_74093152的博客
02-23 795
BUUCTFMISC——数据包中的线索
BUUCTF 数据包中的线索
Bnessy
03-25 2002
找到HTTP数据包,追踪HTTP流,将内容复制出来base64解密 看到JFIF,是jpg文件头 保存为jpg,看到flag
buuctf数据包中的线索
weixin_52620919的博客
11-04 1080
wareshark打开 过滤出http 追踪状态码为200的 base64解密一下 导出jpg图片 看到flag flag{209acebf6324a09671abc31c869de72c}
BUUCTF数据包中的线索
2401_83972784的博客
10-24 1646
看见解码后的结果里面的开头有JFIF,很明显这是一张图片,这里可以先转十六进制再导入010或者winhex,当然还有更方便的随波逐流,直接用base64转图片。flag直接出现在图片里:flag{209acebf6324a09671abc31c869de72c}先追踪报红包体的TCP流看看怎么个事,找到一个访问fenxi.php页面的数据包。拿到题目数据包放进Wireshark中分析,可以看见已经有报红的包体了。下面一大堆编码,看着像是base64的编码,拿去解码试试再说。
buuctf-misc-24.数据包中的线索
weixin_49765221的博客
05-03 1215
base64转图片
流量分析-CTF-BUUCTF-数据包中的线索
theenderofroot的博客
04-12 1111
直接看状态码为200的包,追踪TCP流,发现末尾的等号,初步确定是base64编码,确定目标。2、在官网下载zip文件,解压后使用wireshark打开,在显示过滤器中搜索http。3、由于这段base64编码的长度过长,试了几个解码器都解不出来,怀疑是要转图片。用猫捉鱼铃里的工具箱直接梭哈。
buuctf misc 数据包中的线索
最新发布
06-02
### BUUCTF MISC 数据包线索与解题思路分析 BUUCTF MISC 数据包通常涉及多种隐写术和文件提取技术。以下是对问题的详细分析: #### 1. 文件初步分析 在处理 MISC 类型的数据包时,通常需要对文件进行初步分析以确定其类型和可能隐藏的内容。例如,使用 `binwalk` 工具可以检测文件中嵌套的其他文件或数据块[^1]。 ```bash binwalk misc_data.zip ``` 如果发现嵌套文件,则可以使用以下命令提取: ```bash binwalk -e misc_data.zip ``` #### 2. 隐写术检测 对于图片文件,常见的隐写术包括 LSB(最低有效位)隐写、Steghide 等工具的应用。在引用中提到的情况,图片中隐藏了密码,而该密码用于解密另一个文件(如 `flag.txt`)。尝试以下方法: - 使用 `steghide` 工具提取隐藏信息: ```bash steghide extract -sf image.jpg ``` 此处需要输入正确的密码,密码通常隐藏在图片或其他文件中。 #### 3. 密码查找 如果密码未直接给出,可以通过以下方式进行查找: - 检查图片的元数据,使用 `exiftool` 查看是否存在隐藏信息: ```bash exiftool image.jpg ``` - 尝试使用字符串搜索工具查看图片中是否有隐藏文本: ```bash strings image.jpg ``` #### 4. 文件内容解析 在引用中提到,最终的 `flag.txt` 文件包含十六进制编码的内容 `46 4c 41 47 3a ...`。这实际上是一个 ASCII 编码的字符串,可以通过 Python 脚本将其转换为可读文本: ```python hex_data = "46 4c 41 47 3a 33 38 35 62 38 37 61 66 63 38 36 37 31 64 65 65 30 37 35 35 30 32 39 30 64 31 36 61 38 30 37 30 0a" byte_data = bytes.fromhex(hex_data.replace(" ", "")) print(byte_data.decode()) ``` 上述代码将十六进制数据转换为字符串形式,输出为 `FLAG:...`[^2]。 #### 5. Kali Linux 中工具安装问题 如果在 Kali Linux 下安装 `steghide` 出现问题,可以尝试以下步骤解决: - 更新系统包: ```bash apt update && apt upgrade ``` - 安装依赖库: ```bash apt install libjpeg62-turbo-dev ``` - 安装 `steghide`: ```bash apt install steghide ``` 如果仍然无法解决问题,可以在 Windows 平台安装并使用 `steghide` 工具[^1]。 --- ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值