近期misc刷题主要是流量分析部分

原创 已于 2023-07-20 14:39:07 修改 · 1.4k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #笔记 #经验分享

于 2023-07-20 14:30:32 首次发布
文章介绍了几个网络安全挑战的解决方案,涉及日志解析、NTLM身份验证时间戳的MD5转换、流量包分析以识别蚁剑加密通道、USB流量解密、Modbus协议解析以及流量加密内容的提取和protobuf反序列化。每个挑战都需要深入理解网络协议和加密方法。

2022年蓝帽杯misc部分

1.神秘的日志

题目没有搜到,但应该是问NTML身份验证的时间

解压出来拿到两个日志文件,正常我们先看第二个system

打开system查看日志

里面东西很多,我们过滤有用的东西,只看错误和警告

发现有用的就只有这2条

分别对应两个时间,然后我们取security里面去搜这两个时间

每个对应五个

我们随便打开一个,查看详细

里面有创建时间,一共有十个,没有好的办法,我们只能一个一个试,将他们转成MD5值

下面这个是正确的时间

转为md5

flag{dafd0428f634aefd1ddb26f8257c791f}

2.加密的通道

网上找到的题目

拿到一个流量包,我们首先直接过滤TCP包,然后看一下,发现这个流量包比较特别,下面类似与base16加密

最低0.47元/天 解锁文章
CTF(misc) USB流量截取(键盘)
m0_59197314的博客
07-26 1386
解压文件后获得一个flag.pcap流量包,用wireshark打开,右键红圈部分选择应用为列出现相关数据。使用脚本提取出对应的键盘字母,最终获得flag,注意下格式改下大小写。使用tshark工具将所需信息保存到usbdata.txt文件中。将文件用脚本分隔,获得out.txt文件。
BUUCTF-misc
2302_80935968的博客
05-27 1253
打开附件发现是一个.jpg文件,继续用二进制编辑器打开仔细寻找发现里面有两个FF D8 FF,所以有两个.jpg文件,我们将这两个文件进行分离发现什么信息都没有,相反在源文件的基础上,我们直接搜索flag(66 6C 61 67)反而很轻易的看到了flag。下载好附件之后是一个.jpg文件,但是目说保险箱有一个四位数的密码,因此我们猜测在这个.jpg文件中肯定还隐藏了其他文件,我们用二进制编辑器打开这个文件。说明这里还藏着一个.rar文件,那就很easy了,还是老规矩,我们把.rar文件分离出来。
CTF-流量
m0_62670778的博客
04-08 2787
检查这些保存的文件,查看是否有什么有价值的东西。中的内容都是乱码的,根据目描述知道。发现上传了一个ms.jsp的木马文件。发现是一个具有文件上传功能的页面。发现有导出对象,将数据全部保存。下载附件后发现是一个流量包。查看是否有http导出对象。
玄机第六章流量分析
m0_64053653的博客
07-07 664
1.木马的连接密码是多少2.黑客执行的第一个命令是什么3.黑客读取了哪个文件的内容,提交文件绝对路径4.黑客上传了什么文件到服务器,提交文件名5.黑客上传的文件内容是什么6.黑客下载了哪个文件,提交文件绝对路径。
网络安全CTF流量分析-入门7-加密流量分析
m0_51198141的博客
11-25 3839
1.连接的正确密码2.攻击者留存的值3.攻击者下载到的Flag这道前期来说比较简单,但是最后一文的Flag可能有点跳脱,但是整体的流量还是比较容易分析的,exe的开头是MZ这一点要注意,否则分割不出正确的文件。写的简陋,欢迎师傅们留言交流补充。
[MISC]USB键鼠流量
qq_61109509的博客
04-17 808
学长给的一道 打开压缩包后发现一个pcap和一个加密文件 先把pcap在linux里面分离一下 里面是摩斯电码,解码后得到password2 显然还有密码1,那我们还是在pacp里面找找 看到USB想到USB键鼠 直接在github里面下载wangyihang大佬的脚本 #!/usr/bin/env python import sys import os DataFileName = "usb.dat" presses = [] normalKeys = {"04":"a", "05":"b
XCTF-Misc1 USB键盘流量分析
orchid_sea的博客
01-03 2191
附件是一个USB流量文件。
CTF-Misc领域】CTF-Misc核心型与工具入门教程:涵盖图片隐写、压缩包分析、流量分析等实战技巧及学习路径指导
最新发布
05-14
首先概述了核心型,包括图片隐写、压缩包分析、流量分析、音频隐写及其他常见型,并对每种型提供了具体的工具和实战技巧。接着,文档列出了入门学习路径,涵盖工具链配置、推荐平台以及学习建议。最后,...
buuctf misc 记录
zx66661的博客
04-22 2376
目录 流量中的线索 荷兰宽带数据泄露 后门查杀 webshell后门 被劫持的神秘礼物 流量中的线索 下载后解压是一个数据包 过滤http追踪http 导出文件 下载下来打开fenxi.php发现最后有= 猜测是base64 在浏览器栏输 data:image/png;base64, 编码内容可以直接看到图片 荷兰宽带数据泄露 使用 RouterPassView 1.88 中文免费版 下载地址:https://www.onlinedown....
misc记录2[陇杯 2021]
2301_81841047的博客
06-17 1887
由上可知,在登录成功是在101以后 ,所以直接往后面找就可以,定位到了关键信息,但是通过分析可知,这里获得的是相对路径,通过前面对流量包的分析可知,这里使用的系统是linux,那么也就是说,可以猜测前面的内容应该是/var/www/html,但是保险起见,还是筛选一下pwd命令,看看完整路径,这里检测pwd是因为按照做经验,一般修改以后都会用pwd命令看看是否修改成功。命令会打印出当前正在工作的目录的绝对路径。这里要求的是权限,思路是先检索关键字“whoami”,因为这个命令可以查看现在用户的权限状态,
CTF入门Misc流量分析系列——USB流量
xcellencw的博客
02-23 1287
声明:为了方便查找目类型和基本做思路,所以本人作文章为笔记,必然有不足之处,请指正。USB流量分析主要包括键盘和鼠标流量。。键盘流量中数据包的数据长度一般为 8 个字节,鼠标流量中数据包的数据长度一般为 4个字节。然后再查看HID Data(或Leftover Capture Data)的数据,就是传输的USB信息。
misc——流量分析usb(2)
2301_81864699的博客
06-19 1489
usb协议数据部分数据长度为8个字节,其中击键信息集中在第三个字节思路:在Linux中使用tshark命令把cap data提取出来,根据《usb键盘协议中键码》中的HID Usage ID将数据还原为键跑脚本(先将每个字节以冒号分割,方便提取)
MISC】USB键鼠流量分析
weixin_51614272的博客
04-12 2414
一开始拿到一个压缩包 里面有一个流量包和加密的bmp图片: 打开wireshark分析: 直接用大佬的脚本,放在kali里跑: #!/usr/bin/env python import sys import os DataFileName = "usb.dat" presses = [] normalKeys = {"04":"a", "05":"b", "06":"c", "07":"d", "08":"e", "09":"f", "0a":"g", "0b":"h", "0c":"i", "
CTF MISC-USB流量分析记录
diecai2192的博客
04-08 2734
USB流量分析 USB接口是目前最为通用的外设接口之一,通过监听该接口的流量,可以得到很多有意思的东西,例如键盘击键,鼠标移动与点击,存储设备的明文传输通信、USB无线网卡网络传输内容等。 1、USB流量的捕获 USB流量的捕获可以使用wireshark自带的工具usbpcap来进行 安装wirshark时勾选上安装usbpcap即可 1.鼠标流量 抓包 鼠标移动的轨迹,右键,左键...
工作组与域环境下NTLM协议数据包分析
qq_18811919的博客
01-25 1860
工作组与域环境下NTLM数据包分析。
misc流量分析总结
weixin_51614272的博客
11-27 2031
先来目: 一个最简单的流量分析 这个直接追踪http流查看每个流量包即可发现flag。 解思路: 1.用wireshark打开,分析http流和tcp流 2.搜索和flag有关的关键字(txt,flag,secret,zip),寻找信息,寻找进一步解思路 3.导出http流和tcp流查看 流量分析总体型: 一,ping 报文信息 (icmp协议) 二,上传/下载文件(蓝牙obex,http,难:文件的分段上传/下载) 三,sql注入攻击 四,访问特定的加密解密网站(md5,base64) 五
流量分析、取证
xxfsa的博客
12-06 1544
筛选地址usb.addr==2.8.1 usb.addr==2.10.1 分别导出特定分组。得到的2.8.1.txt结尾处多一个空行,键盘流量脚本跑完得到的结果多一个字符。追踪TCP流发现flag.zip,其实可以直接kali foremost出来。wiresahrk打开流量包,直接usb.data_len==8筛选。发现压缩包有密码,接着追踪,在流7中找到password。得到2.8.1.pcapng 2.10.1pcapng。解密提取2.10.1.txt之后得到密码。解开压缩包得到flag。
[CISCN 2022 初赛]ez_usb
m0_64444909的博客
03-19 984
1.键盘流量USB协议数据部分在Leftover Capture Data域中,数据长度为八个字如图,发现击键信息为0x06,即对应的按键为C2.鼠标流量USB协议鼠标数据部分在Leftover Capture Data域中,数据长度为四个字节。其中第一个字节代表按键,当取0x00时,代表没有按键、为0x01时,代表按左键,为0x02时,代表当前按键为右键。
[2022CISCN]ez_usb
Landasika的博客
05-29 2296
[2022ISCN]ez_usb:键盘提取压缩包和密码流量分析 首先目给的提示是这个是键盘流量,那么我们搜索8个字节长度的数据包,这里发现有两个Destination的数据包的长度是8,说明键盘给两个地方输入了值 tshark分别提取出压缩包和压缩密码 tshark -r ./ez_usb.pcapng -Y 'usb.data_len == 8' -Y 'usb.src =="2.8.1"' -T fields -e usb.capdata > 1.txt tshark -r ./ez_usb.
CTF MISC挑战:流量分析揭露数据库登录流程
属于MISC(杂项)类型,涉及到流量分析技能,并特别指出了数据库登录环节。 CTF竞赛中的杂项通常需要选手们利用各种工具和知识来解决较为开放的问,可能包括密码学、取证、隐写术、逆向工程、流量分析等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值