本文介绍了在CTF比赛中的流量分析方法,包括PCAP文件的处理、过滤、数据提取和协议字段分析。通过Wireshark过滤HTTP协议追踪TCP流,解码字符串和文件,从而找到flag。此外,还涉及了对压缩包、ARP、TCP流、蓝牙共享局域网数据包的分析,以及使用binwalk工具从图片中提取flag。
流量包分析
CTF 比赛中, 流量包的取证分析是另一项重要的考察方向,有时候电子取证也会涉及到这方面的知识。
通常比赛中会提供一个包含流量数据的 PCAP 文件,有时候也会需要选手们先进行修复或重构传输文件后,再进行分析。
PCAP 这一块作为重点考察方向,复杂的地方在于数据包里充满着大量无关的流量信息,因此如何分类和过滤数据是参赛者需要完成的工作。
铁人三项的话是查找ip 服务器 还原入侵过程。
CTF中的数据分析主要侧重于查找flag
-
过滤赛选
过滤语法
Host,Protocol,contains(http.request.mothod contain " 关键字") -
数据提取
字符串取
文件提取(分出单个流量包来可以查找) -
协议字段
bugkuctf 分析部分write up
1.flag被盗
根据提示,赶紧溯源。
才想到服务器入侵,然后用wireshark 打开数据包 直接过滤http协议
啊
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
