近期misc刷题主要是流量分析部分

原创 已于 2023-07-20 14:39:07 修改 · 1.4k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #笔记 #经验分享

于 2023-07-20 14:30:32 首次发布
文章介绍了几个网络安全挑战的解决方案,涉及日志解析、NTLM身份验证时间戳的MD5转换、流量包分析以识别蚁剑加密通道、USB流量解密、Modbus协议解析以及流量加密内容的提取和protobuf反序列化。每个挑战都需要深入理解网络协议和加密方法。

2022年蓝帽杯misc部分

1.神秘的日志

题目没有搜到,但应该是问NTML身份验证的时间

解压出来拿到两个日志文件,正常我们先看第二个system

打开system查看日志

里面东西很多,我们过滤有用的东西,只看错误和警告

发现有用的就只有这2条

分别对应两个时间,然后我们取security里面去搜这两个时间

每个对应五个

我们随便打开一个,查看详细

里面有创建时间,一共有十个,没有好的办法,我们只能一个一个试,将他们转成MD5值

下面这个是正确的时间

转为md5

flag{dafd0428f634aefd1ddb26f8257c791f}

2.加密的通道

网上找到的题目

拿到一个流量包,我们首先直接过滤TCP包,然后看一下,发现这个流量包比较特别,下面类似与base16加密

最低0.47元/天 解锁文章
CTF(misc) USB流量截取(键盘)
m0_59197314的博客
07-26 1385
解压文件后获得一个flag.pcap流量包,用wireshark打开,右键红圈部分选择应用为列出现相关数据。使用脚本提取出对应的键盘字母,最终获得flag,注意下格式改下大小写。使用tshark工具将所需信息保存到usbdata.txt文件中。将文件用脚本分隔,获得out.txt文件。
BUUCTF-misc
2302_80935968的博客
05-27 1252
打开附件发现是一个.jpg文件,继续用二进制编辑器打开仔细寻找发现里面有两个FF D8 FF,所以有两个.jpg文件,我们将这两个文件进行分离发现什么信息都没有,相反在源文件的基础上,我们直接搜索flag(66 6C 61 67)反而很轻易的看到了flag。下载好附件之后是一个.jpg文件,但是目说保险箱有一个四位数的密码,因此我们猜测在这个.jpg文件中肯定还隐藏了其他文件,我们用二进制编辑器打开这个文件。说明这里还藏着一个.rar文件,那就很easy了,还是老规矩,我们把.rar文件分离出来。
CTF-流量
m0_62670778的博客
04-08 2786
检查这些保存的文件,查看是否有什么有价值的东西。中的内容都是乱码的,根据目描述知道。发现上传了一个ms.jsp的木马文件。发现是一个具有文件上传功能的页面。发现有导出对象,将数据全部保存。下载附件后发现是一个流量包。查看是否有http导出对象。
玄机第六章流量分析
m0_64053653的博客
07-07 663
1.木马的连接密码是多少2.黑客执行的第一个命令是什么3.黑客读取了哪个文件的内容,提交文件绝对路径4.黑客上传了什么文件到服务器,提交文件名5.黑客上传的文件内容是什么6.黑客下载了哪个文件,提交文件绝对路径。
网络安全CTF流量分析-入门7-加密流量分析
m0_51198141的博客
11-25 3837
1.连接的正确密码2.攻击者留存的值3.攻击者下载到的Flag这道前期来说比较简单,但是最后一文的Flag可能有点跳脱,但是整体的流量还是比较容易分析的,exe的开头是MZ这一点要注意,否则分割不出正确的文件。写的简陋,欢迎师傅们留言交流补充。
[MISC]USB键鼠流量
qq_61109509的博客
04-17 808
学长给的一道 打开压缩包后发现一个pcap和一个加密文件 先把pcap在linux里面分离一下 里面是摩斯电码,解码后得到password2 显然还有密码1,那我们还是在pacp里面找找 看到USB想到USB键鼠 直接在github里面下载wangyihang大佬的脚本 #!/usr/bin/env python import sys import os DataFileName = "usb.dat" presses = [] normalKeys = {"04":"a", "05":"b
XCTF-Misc1 USB键盘流量分析
orchid_sea的博客
01-03 2191
附件是一个USB流量文件。
CTF-Misc领域】CTF-Misc核心型与工具入门教程:涵盖图片隐写、压缩包分析、流量分析等实战技巧及学习路径指导
最新发布
05-14
首先概述了核心型,包括图片隐写、压缩包分析、流量分析、音频隐写及其他常见型,并对每种型提供了具体的工具和实战技巧。接着,文档列出了入门学习路径,涵盖工具链配置、推荐平台以及学习建议。最后,...
buuctf misc 记录
zx66661的博客
04-22 2376
目录 流量中的线索 荷兰宽带数据泄露 后门查杀 webshell后门 被劫持的神秘礼物 流量中的线索 下载后解压是一个数据包 过滤http追踪http 导出文件 下载下来打开fenxi.php发现最后有= 猜测是base64 在浏览器栏输 data:image/png;base64, 编码内容可以直接看到图片 荷兰宽带数据泄露 使用 RouterPassView 1.88 中文免费版 下载地址:https://www.onlinedown....
misc记录2[陇杯 2021]
2301_81841047的博客
06-17 1887
由上可知,在登录成功是在101以后 ,所以直接往后面找就可以,定位到了关键信息,但是通过分析可知,这里获得的是相对路径,通过前面对流量包的分析可知,这里使用的系统是linux,那么也就是说,可以猜测前面的内容应该是/var/www/html,但是保险起见,还是筛选一下pwd命令,看看完整路径,这里检测pwd是因为按照做经验,一般修改以后都会用pwd命令看看是否修改成功。命令会打印出当前正在工作的目录的绝对路径。这里要求的是权限,思路是先检索关键字“whoami”,因为这个命令可以查看现在用户的权限状态,
CTF入门Misc流量分析系列——USB流量
xcellencw的博客
02-23 1285
声明:为了方便查找目类型和基本做思路,所以本人作文章为笔记,必然有不足之处,请指正。USB流量分析主要包括键盘和鼠标流量。。键盘流量中数据包的数据长度一般为 8 个字节,鼠标流量中数据包的数据长度一般为 4个字节。然后再查看HID Data(或Leftover Capture Data)的数据,就是传输的USB信息。
misc——流量分析usb(2)
2301_81864699的博客
06-19 1488
usb协议数据部分数据长度为8个字节,其中击键信息集中在第三个字节思路:在Linux中使用tshark命令把cap data提取出来,根据《usb键盘协议中键码》中的HID Usage ID将数据还原为键跑脚本(先将每个字节以冒号分割,方便提取)
MISC】USB键鼠流量分析
weixin_51614272的博客
04-12 2413
一开始拿到一个压缩包 里面有一个流量包和加密的bmp图片: 打开wireshark分析: 直接用大佬的脚本,放在kali里跑: #!/usr/bin/env python import sys import os DataFileName = "usb.dat" presses = [] normalKeys = {"04":"a", "05":"b", "06":"c", "07":"d", "08":"e", "09":"f", "0a":"g", "0b":"h", "0c":"i", "
CTF MISC-USB流量分析记录
diecai2192的博客
04-08 2734
USB流量分析 USB接口是目前最为通用的外设接口之一,通过监听该接口的流量,可以得到很多有意思的东西,例如键盘击键,鼠标移动与点击,存储设备的明文传输通信、USB无线网卡网络传输内容等。 1、USB流量的捕获 USB流量的捕获可以使用wireshark自带的工具usbpcap来进行 安装wirshark时勾选上安装usbpcap即可 1.鼠标流量 抓包 鼠标移动的轨迹,右键,左键...
工作组与域环境下NTLM协议数据包分析
qq_18811919的博客
01-25 1859
工作组与域环境下NTLM数据包分析。
misc流量分析总结
weixin_51614272的博客
11-27 2030
先来目: 一个最简单的流量分析 这个直接追踪http流查看每个流量包即可发现flag。 解思路: 1.用wireshark打开,分析http流和tcp流 2.搜索和flag有关的关键字(txt,flag,secret,zip),寻找信息,寻找进一步解思路 3.导出http流和tcp流查看 流量分析总体型: 一,ping 报文信息 (icmp协议) 二,上传/下载文件(蓝牙obex,http,难:文件的分段上传/下载) 三,sql注入攻击 四,访问特定的加密解密网站(md5,base64) 五
流量分析、取证
xxfsa的博客
12-06 1541
筛选地址usb.addr==2.8.1 usb.addr==2.10.1 分别导出特定分组。得到的2.8.1.txt结尾处多一个空行,键盘流量脚本跑完得到的结果多一个字符。追踪TCP流发现flag.zip,其实可以直接kali foremost出来。wiresahrk打开流量包,直接usb.data_len==8筛选。发现压缩包有密码,接着追踪,在流7中找到password。得到2.8.1.pcapng 2.10.1pcapng。解密提取2.10.1.txt之后得到密码。解开压缩包得到flag。
[CISCN 2022 初赛]ez_usb
m0_64444909的博客
03-19 984
1.键盘流量USB协议数据部分在Leftover Capture Data域中,数据长度为八个字如图,发现击键信息为0x06,即对应的按键为C2.鼠标流量USB协议鼠标数据部分在Leftover Capture Data域中,数据长度为四个字节。其中第一个字节代表按键,当取0x00时,代表没有按键、为0x01时,代表按左键,为0x02时,代表当前按键为右键。
[2022CISCN]ez_usb
Landasika的博客
05-29 2296
[2022ISCN]ez_usb:键盘提取压缩包和密码流量分析 首先目给的提示是这个是键盘流量,那么我们搜索8个字节长度的数据包,这里发现有两个Destination的数据包的长度是8,说明键盘给两个地方输入了值 tshark分别提取出压缩包和压缩密码 tshark -r ./ez_usb.pcapng -Y 'usb.data_len == 8' -Y 'usb.src =="2.8.1"' -T fields -e usb.capdata > 1.txt tshark -r ./ez_usb.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值