流量分析题目总结

原创 已于 2024-06-01 11:31:44 修改 · 646 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #web安全 #学习方法 #安全 #网络安全 #笔记 #系统安全

于 2024-06-01 10:37:44 首次发布

前几天做了简单的流量分析的题,现在在进行总结一下我的做题思路。

总共做了3道简单的题

第一个被嗅探的流量,然后看它的提示发现是文件进行传输的,然后就开始思考,我先开始用过滤器ftp发现是没有的,然后在思考一下,传输文件上传是post请求也就是下面的这个

http.request.method==POST

然后在进行操作,我知道post请求成功的,然后在进行发现了

然后我们在进行追踪流操作,然后在里面查找我们想要的flag,也就是解决了这个题

第2题:流量中的线索

看提示发现是要找到密码,密码也就是post请求,我还是用上面的那个发现没有过滤到有用的线索,然后在只要http的包,然后在看看成功了的数据包

然后我们在进行追踪数据流量,然后在看到有bas64的加密

我们进行解密,一般的正常解密会出问题,然后它是一张图片,我们要把它转成图片,然后在看到我们想要的flag。我先开始解密的时候也是解不出来

我用的下面的那个来进行解码,然后在进行解码用下面的解码网站

https://the-x.cn/encodings/Base64.aspx

然后就得到了flag

第3题被偷走的文件这个题

看看题目得到了线索是文件被偷走了,然后我们就想到了ftp协议直接就过滤得到ftp的数据

看见了rar文件,也就是说明我们要把文件给分离出来,我们就要使用工具,工具很多种。

然后得到了文件,我们在进行解压发现要密码,我第一时间想到的就是暴力破解密码

使用的是下面的这个工具

解压成功也是得到了flag

flag{6fe99a5d03fb01f833ec3caa80358fa3} 

还有一道简单的也是让我找登录的密码就是flag也就是使用第一个

登录一定会有login这个标志,然后一定是post请求,可以从这2点来进行入手还可以直接查找flag

http.request.method==POST

然后就得到了我想要的密码

也是记录一下学习过程。

helloKittywz
关注
CTF-MISC-流量分析解题思路汇总(一)
12-11
对应本人博客CTF-MISC-流量分析解题思路汇总(一) https://blog.youkuaiyun.com/nihui123/article/details/144396159 的资源文件
流量分析小结
m0_63853512的博客
01-10 2845
一、题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可) 3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web
关于流量分析题目的解析
TJHder的博客
03-19 4965
展示一部份吧,我们将它先利用hex转化为ascii,然后这个是一个埃及文,意思是说要进行一个zip文件格式的保存然后利用notepad++进行一个ascii的转换即可得到一个docx(word文档),里面就有flag!我们将这个字节流保存下来,然后用工具发现它是一个jpg格式的图,于是以jpg的格式进行保存下来于是我们就可以看到密码是多少,然后我们将这个密码带入进去就可以得到我们需要的flag。先在kali里面用弱口令去进行爆破,然后将密码带入并生成一个1.pcap的文件打开后,查找http协议的即可。
流量分析—ctf
m0_53067332的博客
01-10 9099
题目介绍 该题为流量分析,当黑客入侵我们的网络是,我们可以需要通过一系列分析操作来进行抓捕与追踪,本题目难度中等偏下,不是很有难度,但题目类型较为全面,适合入手当做练习。 一、题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某
Bugku流量分析题目总结
qq_42857451的博客
11-10 1779
0x01 flag被盗 题目链接:https://ctf.bugku.com/files/e0b57d15b3f8e6190e72987177da1ffd/key.pcapng 解题思路: 这个题目是比较基本的流量分析题,拿到数据包后,查看几个数据比较大的可疑数据,追踪TCP流即可拿到flag flag:flag{This_is_a_f10g} 0x02 中国菜刀 题目链接:htt...
bugku数据包流量分析题目总结
Alexhirchi的博客
03-11 2304
因为内容有点多,文章还没写完,请谅解,后期会将内容更新补全 文章目录1.flag被盗2.中国菜刀3.这么多数据包4.手机热点5.抓到一只苍蝇6.日志审计7.weblogic8.信息提取9.特殊后门底部 1.flag被盗 ​ 提示:flag被盗,赶紧溯源! ​ 下载数据包进行分析 ​ 1.先大致看一遍数据包(IP地址,协议,数据包长度),然后大概能认出两类访问,一个是虚拟机间的访问,一个是网页的...
CTF——流量分析题型整理总结
热门推荐
小锤队长的博客
12-19 5万+
我见过的流量分析类型的题目总结: 一,ping 报文信息 (icmp协议) 二,上传/下载文件(蓝牙obex,http,难:文件的分段上传/下载) 三,sql注入攻击 四,访问特定的加密解密网站(md5,base64) 五,后台扫描+弱密码爆破+菜刀 六,usb流量分析 七,WiFi无线密码破解 八,根据一组流量包了解黑客的具体行为 例题: 一,ping 报文信息 (icm...
CTF类题目复现总结-[DDCTF2018]流量分析 1
weixin_42487326的博客
03-05 1166
CTF类题目复现总结-[DDCTF2018]流量分析 1
ctfhub中的流量分析Length题解题思路
qq_45944288的博客
09-29 1121
ctfhub中的流量分析Length题解题思路 1.通过分析题意知道这是跟数据包的大小有关系 2.在过滤器中输入icmp进行过滤(因为题考的就是icmp协议) 什么是ICMP协议? ICMP(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用 3.
网络流量类型分析器(实现应用层的协议类型分析,HTTP,ftp等)
04-27
这是一个实现网络流量类型分析功能的简单的小软件,可以根据端口号来判断当前流经网卡的是什么类型的数据,方便统计,使用winpcap抓包。使用前需到网上下载winpcap4.0.2,安装后即可。
十大网站服务器工具 ftp 流量控制防火墙 免费 日志分析。
10-30
arp 防火墙,ftp,流量控制,日志分析。
流量分析题常见特征思路+例题(一)
2301_79424186的博客
04-11 1219
Q:有提到用户权限A:搜索whoami。
bugku——分析(流量分析)题解
小锤队长的博客
10-19 4925
目录 1,flag被盗 2,中国菜刀 3,这么多数据包 4,手机热点 5,抓到一只苍蝇 6,日志审计 7,weblogic 8,信息提取(超详细) 9,特殊后门 1,flag被盗 ctrl + f 打开搜索框,搜flag ,找到 93 个数据包里有 flag.txt字样, 右键,追踪 TCP数据流,在其中看到了 flag: flag{This_is_a_f10g}...
流量分析-PhishingEmail_WriteUp
豆傻小饼干随记
11-24 966
追踪第2条tcp流量可以看到,从原地址192.168.57.140已经发起登录申请,登录的用户为:guanyu@192.168.57.143。追踪第3条tcp流量可以看到用户zhangfei在192.168.57.139上打开了相关邮件。追踪第4条tcp流量可以看到用户liubei在192.168.57.137打开了相关邮件。在该部分信息中存在着攻击者的IP、监听端口及受害者的相关信息,这里看到受害者的IP地址为。第5条流量时已经有被控的指令被执行了,这里执行的是。,所以可以确定,是账户。
关于基础的流量分析(1)
Z11762的博客
05-23 1982
打开wireshark后,第一次进需要选择Capture,然后是interface,再下拉主菜单会出现两个对话框,里面会列出捕获数据需要使用的各种设备以及ip地址,选择需要使用的设备,点击start,之后就会把数据捕获并显示再框内,到后面就可以直接用whireshark工具打开pcap文件,它就会自动捕获流量包了就像下面这样。
流量分析-FTPServer20221010.img-(环境解析)
m0_46056107的博客
01-11 504
需要环境加qq
日志流量分析之ftp传输过程分析
千寻的博客
09-18 4229
思路总结 第一步 使用wirshark结合告警日志,分析可能存在的攻击类型:通过ftp进行传输的 第二步 结合对ftp请求中中包含user\pass进行过滤,获得ftp传输的账号和密码 第三步 通过过来ftp-data确认传输的图片、文件,从而确认是窃取敏感信息的 第四步 通过分析目标主机的,确认攻击着的恶意ip地址 日志文件分析 第一步 获取数据包,并使用wirshark打开 第二步 分析告警日志信息,确实是通过ftp传输进入 第三步 通过过来ftp的协议,查看数据包 此时确认是通过ftp传输,初步判
ftp数据流分析
老鹏
01-28 1947
1. 简介 项目中有一个在stm32中移植ftp的功能,在网上找到了一个开源的 lwip_ftpd_master 的代码,文件系统是fatfs。 ftp使用的是tcp协议,通过21端口建立连接,客户端通过这个端口发送命令给服务器,服务器根据发送来的命令进行相应的操作。 ftp涉及到两种模式,一种是主动模式(PORT命令)、一种是被动模式(PASV命令)。 2. 具体(passive模式) 1. ...
流量分析题目变异shell.pcap
最新发布
06-20
### 网络流量分析与Shell.pcap变异题目解析 网络流量分析网络安全领域中的重要技术,通过深入分析网络通信数据包,可以发现潜在的安全威胁。对于shell.pcap相关的题目或变异情况,以下内容将详细解析其背景、原理及分析方法。 #### 1. Shell.pcap的定义与背景 Shell.pcap通常指包含WebShell相关网络流量的捕获文件WebShell是一种用于远程控制服务器的脚本工具,攻击者可能利用它执行命令、上传文件或窃取敏感信息。在实际环境中,shell.pcap可能记录了WebShell与管理端之间的交互流量,包括但不限于命令执行、文件传输和数据库操作等[^1]。 #### 2. 变异题目的常见类型 在网络流量分析竞赛或实际应用中,shell.pcap的变异题目可能涉及以下几种形式: - **加密流量分析**:攻击者可能对WebShell通信流量进行加密,增加分析难度。需要使用解密技术或模式匹配来识别隐藏的恶意行为。 - **混淆流量检测**:通过修改HTTP请求头、参数名称或数据格式,攻击者试图绕过传统的入侵检测系统(IDS)。分析时需关注异常的HTTP行为模式。 - **时间延迟策略**:为避免触发基于频率的检测规则,攻击者可能采用低频通信方式。分析时需结合长时间段的数据包统计特征。 - **多阶段加载技术**:WebShell的核心功能可能被拆分为多个阶段加载,初始流量看似无害,但后续会下载恶意模块。分析时需追踪完整的流量链路。 #### 3. 分析方法与工具 针对shell.pcap的变异题目,可采用以下分析方法和技术工具: - **流量重放与解码**:使用Wireshark或Tshark工具对pcap文件进行重放,提取关键字段如HTTP请求/响应、POST数据等内容[^1]。 - **正则表达式匹配**:编写正则表达式以识别常见的WebShell特征,例如特定的请求路径、参数名称或Shellcode模式。 - **机器学习模型**:训练分类器以区分正常流量与潜在的WebShell活动。常用特征包括包长度分布、字节熵值和协议字段统计等。 - **沙箱环境测试**:在隔离的环境中模拟WebShell的行为,观察其生成的网络流量并与原始pcap文件对比。 #### 4. 示例代码 以下是一个使用Python和Scapy库解析pcap文件的示例代码: ```python from scapy.all import rdpcap, TCP, IP # 读取pcap文件 packets = rdpcap("shell.pcap") # 遍历数据包并提取HTTP流量 for packet in packets: if packet.haslayer(TCP) and packet.haslayer(IP): payload = bytes(packet[TCP].payload) if b"POST" in payload or b"GET" in payload: print(f"Source: {packet[IP].src} -> Destination: {packet[IP].dst}") print(f"Payload: {payload}") ``` #### 5. 总结 通过对shell.pcap的分析,可以揭示WebShell活动的网络行为特征,并进一步设计检测规则或模型以应对变异情况。这种方法不仅适用于竞赛环境,也能有效提升实际网络环境中的安全防护能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值