记录一道流量分析的题——攻防世界:流量分析1

最新推荐文章于 2025-04-12 19:31:02 发布
最新推荐文章于 2025-04-12 19:31:02 发布
阅读量4k 收藏 6
点赞数 2
文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lmboss/article/details/126334197
版权
本文介绍了一种基于时间的盲注攻击手法,通过Wireshark分析网络流量,利用HTTP请求中的特殊时间延迟现象来逐步获取被注入的目标信息。文章详细解释了如何通过解码和筛选HTTP报文来定位并提取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述下载附后后打开看到是一个challenge.pcapng 。利用wireshark进行流量分析

跟踪HTTP流和TCP流都发现在请求端,用户发送的数据包有蹊跷:

在这里插入图片描述将URL解码:(需要解码两次)

第一次:
在这里插入图片描述

第二次:

在这里插入图片描述
可以明显看出这是基于时间的盲注攻击,并且攻击者是从flag文件中依次取出字符来进行盲注的,sleep(3)。

所以我们可以找到所有的HTTP的协议,注意:按时间进行排序,如果时间接近那么很有可能就是利用了盲注攻击的HTTP协议,换言之,协议中包含局部flag信息。

我们以时间为晒选规则来晒选HTTP协议

sleep(3)持续的时间大概是0.018ms

frame.time_delta>0.018&&http

我们得到了以时间排序好的HTTP报文
在这里插入图片描述随便点开一个,比如565:
我们查看他的HTTP请求报文:

在这里插入图片描述将其进行URL解码(依旧要进行两次解码)
得到:可以看到这次比较的Ascii 是 102,并且flag的序号为1
在这里插入图片描述对102进行字符转换:

在这里插入图片描述我们按照这个顺序往后找,就可以依次找到所有的flag了,(似乎最后一个时间隔得比较远,因)

最终得到的flag:

flag{1qwy2781}
Composer_LM
关注
流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 2万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据包筛选 顶峰相见
攻防世界-GA[Misc]流量分析1(pcapng筛选 + URL解码,代码分析)
Future_Hk的博客
02-12 502
通过URL解码后 对代码进行分析 得到flag
攻防世界流量分析1
启程的Linux实验室
09-18 1974
攻防世界-流量分析1(难度1目WriteUp
攻防世界misc--流量分析1
ncnfjdjjd的博客
02-03 1806
延时注入,wireshark ,encodeURI编码
攻防世界流量分析1
qq_53105813的博客
08-04 2969
攻防世界
攻防世界 - Misc - Level 1 | 流量分析1
Blue17 の 小窝
01-02 920
攻击者尝试进行布尔盲注,并且设置成功时间为 3 秒,那么我们就可以使用。WireShark 根据响应时间筛选响应包并追踪 HTTP 流。=> 筛选响应时间大于 3 秒的响应包。基于时间的 SQL 盲注。
[攻防世界]流量分析1
weixin_64836216的博客
11-08 295
一个关于url编码的流量分析
ctf刷 攻防世界流量分析1
weixin_44807430的博客
10-19 2303
网络安全就是国家安全
python流量实时分析_笔记整理6——用python实现IP流量分析
weixin_39637919的博客
12-20 1457
一.主要思路(1).通过ip获取地理位置主要是通过ip从我们获取的数据库中查询相应信地理位置信息程序实现中已经将数据库下载到本地(2).对经过dpkt解析的对象pcap获取ip及其位置将经过dpkt.pcap.Reader(g)方法解析的pcap对象进行拆分解析这个pcap对象中含有一个[timestamp,packet]类数据的数组,我们将每个层分成以太网层和ip层两部分,通过socket读取i...
流量分析——安恒八月月赛CTF
xiaogaoxiaoyuan的博客
01-09 3800
一、目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可) 3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:
CTF——MISC——流量分析
热门推荐
小锤队长的博客
09-26 2万+
目录 一、流量包修复 二、协议分析 三、数据提取 例1目:Cephalopod(图片提取) 2,目:特殊后门(icmp协议信息传输) 3,目:手机热点(蓝牙传输协议obex,数据提取) 4,目:想蹭网先解开密码(无线密码破解) 5,我的的教练也想打CTF 概括来讲在比赛中的流量分析有以下三个方向: 1、流量包修复 2、协议分析 3、数据提取 一、流量包修复 ...
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此详细解博客:https://danbaku.blog.youkuaiyun.com/article/details/127953659
攻防世界miss-01,杂项misc太湖杯
11-01
2. 工具使用:熟悉各种网络安全工具,如Nmap进行端口扫描,Wireshark进行网络流量分析,Burp Suite进行Web应用渗透测试等。 3. 编程能力:基本的编程知识,特别是Python,因为很多自动化任务或数据分析需要用到编程...
攻防世界-misc-流量分析1
mlws1900的博客
11-15 4131
得到一系列数据包,对每一个数据包进行url解码(听大佬说可以写脚本,我不会,只好手工操作了)对flag读取第一个字符转换为ascii码,如果和40相等,就延时三秒。就在wireshark输入命令,http.time >=3。那我们过滤数据包的条件,也就是猜解成功的条件就是延时三秒。上面一段请求包,可以看到ssrf和sql延时注入。获得第一个ascii码为102的值,也就是f。以此类推,对每一个包进行解码获得ascii值。还存在url编码,继续解码。下载附件,获得一个流量包。复制这个请求内容,解码。
攻防世界misc-流量分析1
weixin_45723896的博客
06-04 1532
对这些请求中所有的post请求进行一次encodeURL解码和一次encodeURLComponent解码,if条件中的ASCII码就是flag对应位置的ASCII码,将这些ASCII码保存,放进Python里边进行解码即可得到flag。通过观察post请求可以发现,包含有flag字样,猜测flag就在post请求中,由于请求中的URL不便于阅读,且有乱码,先对这段请求进行encodeURL解码。代码表示如果if条件成立,则休眠3秒(如果查询的字符的ASCII码等于'40',则休眠3秒)
攻防世界(Misc)——流量分析1
最新发布
weixin_74738833的博客
04-12 896
得到id=1) and if((ascii(substr((select flag from flag),1,1))='40'),sleep(3),0) --关键信息 这段代码是典型的 SQL时间盲注攻 击 载 荷 , 其 核 心 目 的 是 通 过 条 件 触 发 的 延 迟 响 应 , 逐 步 探 测 数 据 库 中 的 敏 感 信 息 代表第1个字符是ASCII值为40,而且要求延时超过3s的HTTP协议 step4:过滤http.time>3
攻防世界-流量分析WP
sucker的博客
10-23 1399
查询参数的值是gopher://127.0.0.1:80/_POST /admin.php ,这可能是一个尝试利用Gopher协议进行SSRF(服务器端请求伪造)攻击的例子。: 请求中的查询字符串包含了一个复杂的SQL语句,试图通过时间延迟(sleep(3))来判断某个字符是否匹配,这是一种典型的SQL盲注攻击。这条流量记录显示了一个HTTP请求,请求的URL中包含了一个复杂的查询字符串,该查询字符串似乎试图利用Gopher协议进行某种攻击。# 将每个数字字符串转换为整数,然后转换为对应的ASCII字符。
攻防世界 MISC-流量分析1
c868954104的博客
10-16 337
每一个数据包都追踪一下看看注入成功的ascii码,然后换成字符。像是sql注入的语句,urldecode一下。看到请求的url可能是在利用ssrf漏洞。所有的数据包都换算成字符的到flag。注入到正确字符才会sleep 3秒。过滤响应大于三秒的数据包。
攻防世界 - Misc - Level 1 | 流量分析
Blue17 の 小窝
01-02 828
所以攻击者估计也是根据页面的这两个标志来判断自己布尔盲注是否成功的。所以接下来,我们只要定位攻击者每次切换攻击位置的数据包然后根据响应包中的关键字,即可判断攻击者是否攻击成功,并且拿到攻击者所获取的信息。此时我们再拓展一下,页面返回包变了,对应的返回包大小是不是也变了。会使用 WireShark 导出 HTTP 请求包列表,并依据大小进行排序。知道了目标采用的是布尔盲注后,我们通过。熟悉布尔盲注的攻击流出。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值