CTF MISC 3压缩文件处理&4流量取证技术

最新推荐文章于 2024-11-13 17:03:32 发布
最新推荐文章于 2024-11-13 17:03:32 发布
阅读量374 收藏 2
点赞数 1
分类专栏: CTF MISC 文章标签: linux 服务器 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_67837149/article/details/125962438
版权
本文探讨了压缩文件处理的技巧,特别是针对RAR类型的文件,强调了在16进制搜索中的关键步骤。此外,还涉及了流量取证技术,包括五元组的概念及其在网络监控中的应用,以及如何筛选特定命令如'ls'、'cmd'等。在没有root权限的情况下,使用sudo的必要性也得到了提及。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

3.压缩文件处理

头字段后数到第5、6字节,将其改为00 00.

注意是搜索16进制,不是字符串,否则可能搜索不到

rar类型用这个,破解时间长,比赛不考,或有提示

有时密钥就是flag

Nnnnnnoflag!!!结尾接下一个文件头

4.流量取证技术

五元组:

源和目的IP、源和目的端口(port)、协议

还可以筛选 tcp contains “ls”/”cmd”/”dir”….

没有root权限要sudo

[ctf misc][2021祥云杯初赛]层层取证
ShenZ的博客
08-23 2815
呜呜写博客以来第一次线上做出题目了 [2021祥云杯初赛]层层取证 附件: Forensic_9b23172e1dba502daa656b8d4234897f.rar 内含win7x64电脑镜像和内存镜像disk_image.rar,memdump.rar 1.初步分析 disk_image 首先取证大师 得到xiaoming用户NT密码哈希值:92efa7f9f2740956d51157f46521f941,cmd5网站在线解密(是付费的) 在xiaoming账户的桌面上可以看到叫flag.txt
CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析
2401_86436851的博客
09-05 1586
首先,分析VMEM文件整体信息然后, 通过 lsadump 查看内存中密码凭据的明文缓存数据,得到flag。
CTF取证类题目指南
01-09
CTF中,取证赛题包括了文件分析、隐写、内存镜像分析和流量抓包分析。任何要求检查一个静态数据文件(与可执行程序和远程服务器不同)从而获取隐藏信息的都可以被认为是取证题(除非它包含了密码学知识而被认为是密码类赛题)。 取证作为CTF中的一大类题目,不完全包括安全产业中的实际工作,常见的与之相关的工作是事故相应。但即使在事故响应工作中,计算机取证也经常是执法部门获取证据数据和证物的工作,而非对防御攻击者或恢复系统感兴趣的商业事故相应企业。
CTF——杂项3.流量取证技术
woo233的博客
09-09 3783
先用wireshark筛选http的流量,假如没有则筛选tcp的流量,因为getshell是在命令行中执行的,可以用tcp contains “command”在关注的http.数据包或tcp数据包中选择流汇聚,可以将HTTP流或TCP流汇 聚或还原成数据,在弹出的框中可以看到数据内容。在关注的http.数据包或cp数据包中选择流汇聚,可以将HTTP 流或TCP流汇聚或还原成数据,在弹出的框中可以看到数据内容。比如查看数据包的时候,有的数据包有某种特征,比如有http(80)。Data数据单独复制出来。
CTF基本解题思路-杂项-(4)流量取证
Eric___Qu的博客
01-16 1064
描述必要工具:Wireshark。
MISC流量取证(pcap文件修复、协议分析、数据提取)
小哈里的博客
09-21 5190
鼠标协议:每一个数据包的数据区有四个字节,第一个字节代表按键,当取 0x00 时,代表没有按键、为 0x01 时,代表按左键,为 0x02 时,代表当前按键为右键。第二个字节可以看成是一个 signed byte 类型,其最高位为符号位,当这个值为正时,代表鼠标水平右移多少像素,为负时,代表水平左移多少像素。HTTPs = HTTP + SSL / TLS. 服务端和客户端的信息传输都会通过 TLS 进行加密,所以传输的数据都是加密后的数据。但是,如果采用主动模式,那么数据传输端口就是 20;
流量分析、取证
xxfsa的博客
12-06 847
筛选地址usb.addr==2.8.1 usb.addr==2.10.1 分别导出特定分组。得到的2.8.1.txt结尾处多一个空行,键盘流量脚本跑完得到的结果多一个字符。追踪TCP流发现flag.zip,其实可以直接kali foremost出来。wiresahrk打开流量包,直接usb.data_len==8筛选。发现压缩包有密码,接着追踪,在流7中找到password。得到2.8.1.pcapng 2.10.1pcapng。解密提取2.10.1.txt之后得到密码。解开压缩包得到flag。
CTF-Misc基础知识.docx### CTF-Misc基础知识总结、文件操作与
最新发布
05-13
本文档《CTF-Misc基础知识.docx》详细介绍了CTF竞赛中杂项(Misc)挑战的相关知识和技术,涵盖文件操作与隐写、图片隐写、压缩文件隐写、流量分析、USB流量分析、WebShell流量分析、WiFi流量分析、内存取证隐写以及...
CTF MISC挑战:流量分析揭露数据库登录流程
压缩包子文件中的.pcapng文件是一个网络流量捕获文件的格式,PCAP Next Generation (PCAPNG) 是对传统PCAP格式的改进。Pcapng文件用于存储网络流量的捕获数据,包括数据包的时间戳、长度、协议、源和目的地址等详细...
CTF比赛中常见的MISC解题方法(不涉及内存取证流量分析)仅供菜鸟,大佬绕道
comeinthis的博客
09-22 9754
我们在ctf比赛中,大多数时候签到题都是misc。 会不会有小伙伴因为签到题而感到头痛。 其实misc的签到题是非常简单的,不然怎么可能叫签到。 好吧,废话不多说,直接说干货: 1、题目直接给了编码。 比如:前几天的第一届“长城杯”的misc签到题。 5a6d78685a33745a6233566651484a6c58334d7758326476623251686651...
下载的压缩包损坏,修理坏的压缩包
05-07
有时下载一个压缩包后,不知道什么原因压缩包是损坏的,这个程序可以修理大部分下载后损坏的压缩包
你可能没见过的流量取证
Yale的博客
03-22 862
本人首发于freebuf 0x01前言 还有半年就毕业了,这段时间看自己的小本本,整理出之前练习过的一些经典的CTF题目,希望现在的萌新能通过练习这些题目事半功倍,更好地提升技术水平。本文包括一共4个题目,是流量取证方向,针对的是CTF中比较少见的一些协议,比如键盘、鼠标、无线、蓝牙、自定义的私有协议等等。 0x02 2016年谷歌CTF一道200分的题目,针对的是USB鼠标的流量分析。这类题目在...
CTF杂项基本题目思路(图片文件隐写-压缩文件-流量取证
weixin_73185660的博客
11-13 2502
linux系统可以使用file命令查看文件的类型,格式:file 文件名②使用winhex或者010editor查看文件头,从而判断文件的类型,①中file命令的本质也是查看文件的文件头。
流量取证技术
weixin_43326436的博客
08-06 573
流量
通过流量取证对恶意软件进行动态行为分析
blackorbird的博客
09-04 474
通过流量取证对恶意软件进行动态行为分析链接:https://freddiebarrsmith.com/mastersthesis.pdf简介内容:主要目的...
流量取证 本人第一次接触 ,给大家分享 ,两套简单的试题,我每一道都会仔细的解析过去(流量取证入门建议做!)
ntrybw的博客
08-09 1057
/r/n"知道这是php一句话木马,并且黑客发送了phpinfo();308号数据包找到Form item: "tpl" = "data/Runtime/Logs/Home/21_08_07.log",但是问的是绝对路径,306号数据包。post有很多,第一张是挑选了包偏后面的记录,第二种是偏前面的,所以ID就有可能不一样,结合题目,我们可以推断,经过黑客的绕过,所以后面那个10087是真正的ID。...
杂项题的基本解题思路——4流量取证技术
_Co1a
10-31 1966
流量包文件分析 流量包就是说我向你传递的时候,把你传递过程中的数据抓取下来,保存成一个文件 流量取证技术就是说:题目会给你一个流量包,你要在流量包里面找到相应的一些文件(有时候flag值就藏在流量包的某一个位置) ①wirkshark工具 查看自己的电脑有没有安装wireshark:win+R——》输入wireshark看能不能打开 kaliLinux自带了wireshark 利用wirkshark工具的过滤器功能 常用的过滤命令 1、 过滤IP 如过滤源IP或者目的IP ip.src eq x.x
CTF MISC】XCTF GFSJ0155 simple_transfer Writeup(流量分析+文件提取)
HEX9CF的技术博客
06-05 577
文件里有flag,找到它。
wireshark流量取证方法
luckc7的博客
11-16 658
熟悉wireshark流量取证方法
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值