记录CTF misc之菜刀流量分析

最新推荐文章于 2025-07-16 13:47:37 发布
原创 最新推荐文章于 2025-07-16 13:47:37 发布 · 1.1w 阅读 · 30 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#CTF菜刀流量分析

本文通过一场CTF比赛中的实战案例,详细解析了如何利用菜刀工具进行流量分析,包括查找webshell文件、解密base64加密参数、获取隐藏的flag等过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、前言

昨天参加了一场CTF比赛,做了一道菜刀流量分析的题目,因为之前流量分析这块不是很熟悉,加上实战CTF也比较少走了不少弯路。

二、流量分析

菜刀是常见的连接webshell的工具,连接webshell会有明显的GET或POST请求。所以我们只需要找数据包的HTTP请求就行了。

找到第一个HTTP请求,选择追踪HTTP流,进行分析


我们看到webshell就是/upload/1.php文件,webshell是一个post请求,请求的参数action经过base64位加密,我们把它解密出来看看


注意直接从HTTP追踪流中复制出来的参数解析不出来,昨天就是这个走了不少弯路,要从请求的Html form url encoded中复制


解密出来的base64的请求参数


解码出来好像没有发现什么有价值的东西。

我们继续往下追踪,从http请求中知道是查看当前目录,在这个http请求中发现flag.txt文件还有个hello.zip文件


但是还没方法获取到flag.txt的内容,我们继续往下看,好几个任意查看文件的请求,我们接下来找到一个比较关键的请求,从请求中分析是在flag所在的目录下上传了一张6666.jpg的图片。


图片是16进制的数字,赶紧网上百度16进制转jpg工具,找到工具后,把图片解析出来,结果如图:


提示知道这个一个密码,猜测可能跟hello.zip这个压缩包有关系,继续往下跟踪

在这个post请求中发现下载了hello.zip文件


继续往下追踪


这一串就是压缩文件了。赶紧百度一下压缩文件怎么搞出来,保存为raw格式,把文件内容复制出来,保存起来,然后下载winhex打开后另存为zip格式


记得去掉>|  |<


发现是一个需要密码的压缩包,还好之前的密码已经搞出来了,输入密码解压成功获取flag


三、总结

CTF比赛之前还是得多积累些经验和套路,还有提前准备一些工具。


流量分析ctf
m0_53067332的博客
01-10 8867
题目介绍 该题为流量分析,当黑客入侵我们的网络是,我们可以需要通过一系列分析操作来进行抓捕与追踪,本题目难度中等偏下,不是很有难度,但题目类型较为全面,适合入手当做练习。 一、题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某
CTF流量分析
Kiber
04-19 759
思路:http.request.method =="POST" && http contains "php",追踪流,找到variable=1&tpl=data/Runtime/Logs/Home/21_08_07.log&aaa=system('echo PD9waHAgZXZhbCgkX1JFUVVFU1RbZXNGXSk7Pz4=|base64 -d > /var/www/html/1.php')找j68071301598f写入的内容,且排除前两位再用base64解密,找到frpc.ini文件。
流量特征分析——蚁剑、菜刀、冰蝎、哥斯拉
Sgirll的博客
07-22 1万+
通过对这三种常见的网络攻击工具流量特征的分析,我们可以更好地了解它们在网络流量中的表现。同时,持续的学习和了解新兴攻击工具的流量特征也是保持网络安全的重要一环。哥斯拉的数据包中包含了特定的标记,如"XORHEAD"和"XORBODY",用于标识该数据包是哥斯拉的控制命令。此外,哥斯拉还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。本文将重点研究菜刀、蚁剑和冰蝎这三种常见的网络攻击工具,分析它们在流量中留下的痕迹和特征,以便网络管理员和安全专家能够更好地识别和对抗这些工具所带来的潜在威胁。
网络安全必看流量分析经典解析----10道CTF题我是怎么完成的
最新发布
shandongjiushen的博客
07-16 857
某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题。这明显就有问题,如果说一个正常的网站,images下放的是图片,但这里放了一个a.php很让人怀疑是一句话木马,而且啊,在老师的教学中,为了方便起文件直接a.php或者b.php等,所以怀疑这里大概率是有问题了,我们对其中一个进行tcp追踪。
CTF——MISC流量分析
m0_67189356的博客
06-27 838
Wireshark(前称Ethereal)是一个网络封包分析软件网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。用于决定将什么样的信息记录在捕捉结果中。依据协议过滤时,可直接通过协议来进行过滤,也能依据协议的属性值进行过滤。在捕捉结果中进行详细查找。它允许您在日志文件中迅速准确地找到所需要的记录。他们可以在得到捕捉结果后随意修改。
CTF-MISC-日志分析
m0_62207482的博客
01-13 2880
先分析 sql 文件,搜索 sql 相关语句,我搜索的是 admin,还有 order by、筛选相应的关键词如 union、select 等,或者筛选可能存在的 sql.php 这样的。筛选访问了 news.html 的所有 IP 地址,发现很多 404 的界面,猜测存在注入,根据 http 的状态码,500 为 web 服务中断,直接搜索字符串 500,找到在此之。背景:某网站遭到境外 ip 攻击,请通过 log,找到找到访问 news.html 最多的。个 IP,确实是一直在爬取网站的图片。
CTF流量分析
m0_37442062的博客
05-03 4314
1.flag被盗了,pcap(gnnl) 尝试http过滤,get或者post追踪tcp流即可,这里是post, flag{This_is_a_f10g} 2.这么多数据包找找吧,先找到getshell的流pcap(vn78) 过滤tcp TCP流通常是命令行操作 Q0NURntkb195b3VfbGlrZV9zbmlmZmVyfQ== 解码:CCTF{do_you_like_sniffer} 3.有一天皓宝宝没了流量只好手机来共享,顺便又从手机发了点小秘密到电脑,你能找到它吗?
CTF——MISC——流量分析
小锤队长的博客
09-26 2万+
目录 一、流量包修复 二、协议分析 三、数据提取 例题: 1,题目:Cephalopod(图片提取) 2,题目:特殊后门(icmp协议信息传输) 3,题目:手机热点(蓝牙传输协议obex,数据提取) 4,题目:想蹭网先解开密码(无线密码破解) 5,我的的教练也想打CTF 概括来讲在比赛中的流量分析有以下三个方向: 1、流量包修复 2、协议分析 3、数据提取 一、流量包修复 ...
CTF——MISC习题讲解(流量分析winshark系列~三)
tlovejr的博客
03-16 5246
CTF——MISC习题讲解(流量分析winshark系列~三) 前言 上一章节我们已经做完一场流量分析杂项题目,接下来继续给大家讲解流量分析系列三。 一、ssl流量 首先打开题目得到两个文件,一个是log结尾的文件,另一个就是正常的流分包TLSv1.3都是经过加密的流量,所以我们第一步就应该解密,首先在我们文件里有一个解密的东西,我们进行导入 点击 编辑->首选项-> 然后需要我们把题目中自带的文件直接导入进去看看 导入完后就有http的协议 然后就发现有了flag的字眼 然后就直接TLS流
CTF-misc(功夫再高也怕菜刀)
分享与记录
04-14 4099
1.题目给出的附件名为acfff53ce3fa4e2bbe8654284dfc18e1.pcapng 使用binwalk发现流量包里有个Zip压缩包 2.使用dd命令分离文件 if=file:输入文件名,缺省为标准输入 of=file:输出文件名,缺省为标准输出 bs=bytes:同时设置读写块的大小为 bytes ,可代替 ibs 和 obs skip=blocks:从输入文件开头跳过 blo...
ctf ddos数据包 杂项 流量_CTF线下AWD经验总结
weixin_39993322的博客
12-20 1044
简介随着CTF的普及,比赛的形式也有了越来越多的花样,对于线下赛来说,常见为 AWD:Attack With Defence+公共高地、内网渗透等形式。由于前段时间准备线下赛时,看了许多大佬们总结的套路,他们各种骚操作让我学到了许多,所以就想把几篇我觉得比较好的总结一下,一来方便自己比赛前回顾一下,二来跟大家分享,希望能对各位CTF朋友们有所帮助。之后如果学到什么新姿势,我有时间也会update...
CTF工具之秋式日志分析器(misc).rar
09-16
此工具用于学习交流用途,切勿用于其它用途。
Bugku流量分析题目总结
qq_42857451的博客
11-10 1671
0x01 flag被盗 题目链接:https://ctf.bugku.com/files/e0b57d15b3f8e6190e72987177da1ffd/key.pcapng 解题思路: 这个题目是比较基本的流量分析题,拿到数据包后,查看几个数据比较大的可疑数据,追踪TCP流即可拿到flag flag:flag{This_is_a_f10g} 0x02 中国菜刀 题目链接:htt...
CTF——流量分析题型整理总结
热门推荐
小锤队长的博客
12-19 5万+
我见过的流量分析类型的题目总结: 一,ping 报文信息 (icmp协议) 二,上传/下载文件(蓝牙obex,http,难:文件的分段上传/下载) 三,sql注入攻击 四,访问特定的加密解密网站(md5,base64) 五,后台扫描+弱密码爆破+菜刀 六,usb流量分析 七,WiFi无线密码破解 八,根据一组流量包了解黑客的具体行为 例题: 一,ping 报文信息 (icm...
流量分析----CTF
qq_38390532的博客
05-02 1万+
某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题
CTF】Bugku分析中国菜刀
LainWith的博客
08-07 1307
首先需要注册一个账号才能做题,进入之后全局网页搜索“菜刀”即可找到题目。地址 由于题目是菜刀,所以流量一定是HTTP协议类型,先来过滤一下数据包 追踪TCP流,发现目标 得嘞,就从200OK的包里面分析 先从第一个开始 看到了目标 由于目标是个压缩包,所以选择解码为“压缩” 然后无论怎么改变“开始”也看不到任何信息 搞下一个包 同上,第二个更改解码为“压缩”无果 再搞最后一个包 当开始位置调到3时,又结果了 答案:key{8769fe393f2b998fa6a11afe2bfcd65e}
两道CTF流量分析题分享
seek_2022的博客
03-10 3038
本文分享了两道CTF流量分析题,分析的过程充满着许多乐趣,希望本文分享的两道题的分析对大家学习相关技能有帮助。
ctf流量分析练习二
gclome的博客
09-06 3920
上次的流量分析做的我一个脑袋两个大!但是不能放弃啊,再找一些题来练练手 0x01 经典题型 CTF题型主要分为流量包修复、WEB流量包分析、USB流量包分析和其他流量包分析。 01 流量包修复 比赛过程中有可能会出现通过wireshark打开题目给的流量包后提示包异常的情况,如下图所示: 解题思路: 通过在线pacp包修复工具进行修复: http://f00l.de/hacking/pcapfix.php 修复之后,再次打开 用tcp contains “flag”,找到了下面这句话: 于是乎,flag就在
CTF——MISC习题讲解(流量分析winshark系列)
tlovejr的博客
03-14 7382
CTF——MISC习题讲解(流量分析winshark系列) 前言 上一章节我们已经做完一场比赛的杂项题目,这次给大家介绍一下不一样的,给大家来一期流量分析专题,在这个专题中,所有的题目链接都整理好了,就不给大家一一展示了,大家可以直接统一下载即可。 一、基础篇-----flag明文 首先打开文件发现以下界面 在这个界面直接ctrl+f,直接搜索flag关键字 然后直接查找就可以看到flag 二、基础篇----flag编码 1、bianma1 这个题直接查找flag的话是没有的,所以我们把flag直接编
CTF MISC挑战:流量分析揭露数据库登录流程
CTF挑战中,选手们需要分析流量包来找出登录信息,这可能包括用户名、密码、甚至是数据库服务器的配置信息。 标签中提到了"CTF", "流量分析", "mysql", "MISC"。这些标签指向了比赛类型、分析技能、特定的数据库...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值