CTF流量分析经典例题详解

已于 2024-01-03 20:30:05 修改
阅读量8.2k 收藏 136
点赞数 46
分类专栏: 安全 CTF 网络 文章标签: 网络 web安全 wireshark 流量分析 安全 CTF
于 2024-01-03 08:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_68163788/article/details/135343740
版权

目录

入门题型

题目:Cephalopod(图片提取) 

题目:特殊后门(icmp协议信息传输)

题目:手机热点(蓝牙传输协议obex,数据提取)

题目:想蹭网先解开密码(无线密码破解)

进阶题型

题目:抓到一只苍蝇(数据包筛选,数据提取)

本文章涉及的所有题目附件下载地址: 链接:

https://pan.baidu.com/s/18mWo5vn1zp_XbmcQrMOKRA 提取码:hrc4

声明:这里的例题都是已经总结好的,我只是在本篇中进行学习和复现

入门题型

题目:Cephalopod(图片提取) 

题目来源:XCTF 3rd-HITB CTF-2017 考点:图片提取 题目信息:(Cephalopod.pcapng)

因为这是一道关于CTF的题目,那么最重要相比就是“夺旗”了,打开该数据包会发现都是10.0.2.7和10.0.2.10的流量包,那么我们可以试着在分组列表、分组详细和分组数据流中找找是否有像flag那样的字符串:

果然在将查找对象修改为分组字符流后,查找到了一个flag.png的字符串

那么不用想,这肯定就是flag了,下面我们就尝试将追踪一下

在第2个流中我们发现了png的身影

那么就将它以原始数据导出

下面我们使用010editor打开保存的文件,然后使用查找直接查找png

删除png前面的字符后导出为png

打开图片就可以看到flag了

题目:特殊后门(icmp协议信息传输)

题目来源:第七届山东省大学生网络安全技能大赛 考点:字符串搜索,icmp协议信息传输 题目信息:(backdoor++.pcapng)

打开数据包后,就和上面的题目一样,我们首先还是搜索一下看是否有flag字符串

可以看到这里直接在分组数据流中找到了一个flagishere字符串,那就针对这里来进行分析

我们再到分组列表中查看了一下发现有很多连续icmp包再加上前面的包中写着flagishere相比flag就在附近了,点开后面的icmp包发现每一个包的相同位置中都有一个不同的字符,事出反常必有妖。

 

然后我们依次将这些字符提权出来组合起来发现就是flag:

 flag{Icmp_backdoor_can_transfer-some_infomation}

题目:手机热点(蓝牙传输协议obex,数据提取)

题目来源:第七季极客大挑战 考点:蓝牙传输协议obex,数据提取 题目信息:(Blatand_1.pcapng)

打开数据包后,还是同样的,我们先查找一下是否有flag

在这个数据包中有很多flag字符串,但是我还是觉得这个flag.gif比较可疑,因为就针对这个数据包来进行分析 

我再看看这个数据包,发现它是一个.rar压缩包,那就嫌疑更大了

方法1:那就试着将这个包来导出

 注:记着要导出为.rar格式

解压后就可以看到flag.png,打开就可以拿到flag了

方法2:还可以使用foremost进行分离,分离完成后再解压同员工可以得到flag

foremost下载地址:https://github.com/korczis/foremost

题目:想蹭网先解开密码(无线密码破解)

题目来源:bugku 考点:无线密码破解 题目信息:(wifi.cap)

打开数据包后,直接来查找是否有flag,查找结果并没有发现很明显的flag痕迹

根据提示:WIFI连接认证的重点在WPA的四次握手包,也就是eapol协议的包,我们来过滤一下

发现果然存在四次握手包,直接进行无线密码爆破 创建密码字典:

利用aircrack-ng 进行爆破:

可以看到成功的爆破出了flag{13910407686}

进阶题型

题目:抓到一只苍蝇(数据包筛选,数据提取)

题目来源:bugku 考点:数据包筛选,数据提取 题目信息:(misc_fly.pcapng)

可以看懂题目提示我们抓到了一只苍蝇

那么我们打开数据包来看看,试着搜索一下flag

发现了有一个可疑的fl ag.txt文件

根据题目的提示我们再来筛选一下“”苍蝇“”

还真的筛选除了一个数据包

分析该包中的内容发现这个包非常的可以,里面写了很多奇怪的文字,从其他地方可以看到,该数据包在发送qq邮件,还做了上传文件的操作

既然有上传文件的操作,那么我们来过滤一下POST数据包看看

可以看到13号数据包调用函数CreateFile,然后下面几个可能就是文件内容了,具体是几个,仔细看看URL,738号数据包有个需要调用函数CheckFile,并且前面的5个数据包url的路径一样, 所以从第一个开始,后5个数据包是flag.rar内容

我们将分组字节流中的原始数据分别保存为1、2、3、4、5,方便操作

但是由于TCP包有文件头,我们需要去掉文件头才能将原始数据合成一个文件, 从第一个数据包可以看出来:

文件大小是525701字节,我们需要的这5个数据包的大小(Media Type中可看到):

131436*4+1777=527521 527521-525701=1820 1820/5=364

tcp包的文件头就为364

然后使用linux的一些工具进行操作即可得到flag.rar 依次把五个文件去掉文件头保存到另一文件 这里使用dd:

dd if=1 bs=1 skip=364 of=1.1

dd命令语法:
if 输入文件名
bs 设置每次读写块的大小为1字节 
skip 指定从输入文件开头跳过多少个块后再开始复制
of 输出文件名

首先我们先将导出的五个文件上传到linux中

然后再用linux的输入流来合并成一个文件:

cat 1.1 2.1 3.1 4.1 5.1 > fly.rar
或者
copy /B 1.1+2.1+3.1+4.1+5.1 fly.rar

 将合成的文件再移动到Window中

尝试进行解压:发现报错了

使用011editor来看看这个压缩包

果然是fly.rar又被伪加密了,将其中的74 84改为74 80就能正常解压了

解压完后打开flag.txt发现里面是一堆乱码

然后我们再用010editor打开看看

它这里居然告诉我们需要在Win32中进行运行,既然可以执行那么我们来试试将后缀修改为.exe看看

修改为.exe文件后可以看到一堆苍蝇在桌面上爬,没有其他特别的东西

根据提示我们使用binwalk对该exe程序进行分解

可以看到分解出了好多东西,但是好像又没有什么有用的

根据提示我们需要使用foremost进行提取一下

 

可以看到提取出了一个二维码,扫描二维码就可以拿到该题的flag了

参考链接:

使用Wireshark进行网络流量分析-优快云博客

攻防世界misc进阶之Cephalopod_攻防世界 cephalopod-优快云博客

binwalk文件分离、提取——命令_binwalk -d-优快云博客

Bugku-CTF分析篇-抓到一只苍蝇(在哪?here!卧槽?!好大一坨苍蝇。) - 0yst3r - 博客园 (cnblogs.com)

CTF——流量分析型整理总结
小锤队长的博客
12-19 5万+
我见过的流量分析类型的目总结: 一,ping 报文信息 (icmp协议) 二,上传/下载文件(蓝牙obex,http,难:文件的分段上传/下载) 三,sql注入攻击 四,访问特定的加密解密网站(md5,base64) 五,后台扫描+弱密码爆破+菜刀 六,usb流量分析 七,WiFi无线密码破解 八,根据一组流量包了解黑客的具体行为 例题: 一,ping 报文信息 (icm...
流量分析ctf
m0_53067332的博客
01-10 8787
目介绍 该流量分析,当黑客入侵我们的网络是,我们可以需要通过一系列分析操作来进行抓捕与追踪,本目难度中等偏下,不是很有难度,但目类型较为全面,适合入手当做练习。 一、目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某
misc4.pcap
09-11
ctf的数据包,强网杯中misc中的第四,为流量,将pcap数据分析可以得到flag
CTF-流量分析整合-1
11-22
最近在学习做ctf流量分析,然后这里收集了一些自己做出来的目,都比较基础,适合新手,也有一些需要简单分析的。 学习的过程都是由易到难,由于上班其实去学自己感兴趣的东西的时间也比较少,所以只能慢慢来吧,希望和大家共勉! 后面目信息和答案会慢慢更新出来,欢迎大家共同学习。
网络安全必看流量分析经典解析----10道CTF我是怎么完成的
qq_41314882的博客
04-14 1132
某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问。这明显就有问,如果说一个正常的网站,images下放的是图片,但这里放了一个a.php很让人怀疑是一句话木马,而且啊,在老师的教学中,为了方便起文件直接a.php或者b.php等,所以怀疑这里大概率是有问了,我们对其中一个进行tcp追踪。
流量分析(持续更新)
zip471642048的博客
05-16 3697
wireshark 目链接:https://ce.pwnthebox.com/challenges?id=1132 黑客通过wireshark抓到管理员登陆网站的一段流量包(管理员的密码即是答案) 根据目描述我们筛选出http流量 查看返回的response ftp 目链接 : https://ce.pwnthebox.com/challenges?id=183 搜索字符串flag发现ftp曾上传或下载了一个flag.txt的文件 ftp-data是ftp传输过程中数据的协议,筛选ftp-d
CTF流量分析
Kiber
04-19 727
思路:http.request.method =="POST" && http contains "php",追踪流,找到variable=1&tpl=data/Runtime/Logs/Home/21_08_07.log&aaa=system('echo PD9waHAgZXZhbCgkX1JFUVVFU1RbZXNGXSk7Pz4=|base64 -d > /var/www/html/1.php')找j68071301598f写入的内容,且排除前两位再用base64解密,找到frpc.ini文件。
关于流量分析目的解析
TJHder的博客
03-19 3993
展示一部份吧,我们将它先利用hex转化为ascii,然后这个是一个埃及文,意思是说要进行一个zip文件格式的保存然后利用notepad++进行一个ascii的转换即可得到一个docx(word文档),里面就有flag!我们将这个字节流保存下来,然后用工具发现它是一个jpg格式的图,于是以jpg的格式进行保存下来于是我们就可以看到密码是多少,然后我们将这个密码带入进去就可以得到我们需要的flag。先在kali里面用弱口令去进行爆破,然后将密码带入并生成一个1.pcap的文件打开后,查找http协议的即可。
ctf流量分析练习二
gclome的博客
09-06 3858
上次的流量分析做的我一个脑袋两个大!但是不能放弃啊,再找一些来练练手 0x01 经典CTF型主要分为流量包修复、WEB流量包分析、USB流量包分析和其他流量包分析。 01 流量包修复 比赛过程中有可能会出现通过wireshark打开目给的流量包后提示包异常的情况,如下图所示: 解思路: 通过在线pacp包修复工具进行修复: http://f00l.de/hacking/pcapfix.php 修复之后,再次打开 用tcp contains “flag”,找到了下面这句话: 于是乎,flag就在
Wireshark流量分析例题
08-23 4841
Wireshark流量分析例题
【安卓逆向】CTF实战分析
YJJYXM的博客
12-24 1200
安卓逆向学习交流群:692903341 既然这篇文章提到了CTF 我就先来科普一下 What is CTF??? 赛事介绍: CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们...
流量分析.docx
12-02
流量分析
CTF 隐写术经典例题讲解
10-22
该内容为CTF隐写术经理例题讲解,包含图片隐写,流量分析,文件查看,文件分离,加密解密等多种型讲解,图文结合,适合新手学习。
CTF web安全经典例题讲解
10-22
该内容为CTFweb安全经理例题讲解,包含sql注入,密码学、文件上传,提权、抓包改包等多种型讲解,图文结合,适合新手学习。
CTF MISC安全杂项经典例题讲解
10-22
该内容为CTFMISC安全杂项经理例题讲解,包含图片隐写,流量分析web安全等多种型讲解,图文结合,适合新手学习。
CTF数据分析详解
qq_68163788的博客
01-04 2699
CTF(Capture The Flag)比赛中,数据分析通常涉及对提供的数据集进行分析、处理和提取有用信息的挑战。这些数据集可能是文本文件、网络流量、日志文件、加密数据等。解决数据分析需要参赛者具备数据处理、编程和分析技能。由于每个CTF比赛的数据分析目都有不同的特点和要求,因此解决方法也各有不同。通常需要参赛者具备良好的编程能力、数据分析能力和创新思维来解决这类挑战。
ISCC2024 Misc部分
2201_75627590的博客
08-02 2373
ISCC2024 Misc部分
红队专-漏洞挖掘-代码审计-反序列化
最新发布
aming小老弟
04-21 1994
TransformedMap⽤于对Java标准数据结构Map做⼀个修饰,被修饰过的Map在添加新的元素时,将可以执⾏⼀个回调。super(map);
流量分析-CTF-ATTACK流量分析
theenderofroot的博客
04-18 1330
1. 使用Wireshark查看并分析虚拟机windows 7桌面下的attack.pcapng数据包文件,通过分析数据包attack.pcapng找出黑客的IP地址,并将黑客的IP地址作为FLAG。回过头来看第2,因为黑客的端口探测技术无非是通过爆破端口号实现的,那么我们不需要看黑客的请求包,只看服务器的响应包就行了,把源目ip调换位置。2. 继续查看数据包文件attack.pacapng,分析出黑客扫描了哪些端口,并将全部的端口作为FLAG从低到高提交。
buuctf web夺旗
12-30
### BUUCTF Web CTF 比赛信息与攻略 #### 什么是BUUCTF? BUUCTF是一个面向全球的安全技术爱好者举办的在线网络安全竞赛平台,其中Web类比赛主要考察参赛者在Web安全漏洞挖掘、利用以及修复方面的能力。 #### 常见的Web攻击方式及其应用实例 对于提到的具体案例: - **命令注入**:当应用程序未能正确过滤用户输入并将其作为操作系统命令的一部分执行时可能发生此问。例如,在给定的例子中通过构造特定URL参数`/?ip=qq.com;ls`来获取服务器上的文件列表[^1]。 - **文件上传漏洞**:允许攻击者上传恶意脚本并通过修改请求中的MIME类型或其他属性使这些脚本能被执行的情况称为文件上传漏洞。这里描述了一个场景,即上传`.phtml`格式的shell以创建后门访问[^2]。 - **变量覆盖与命令拼接**:某些情况下,PHP程序可能允许外部控制内部使用的环境变量或配置项,从而造成潜在风险。如所示例子那样,可以通过精心设计的数据提交改变目标路径下的文件名,并进一步读取敏感数据[^3]。 - **SQL 注入**:这是指将非法的 SQL 查询嵌入到正常的查询语句之中去影响数据库的行为。文中提到了一种情况,即无论发送什么值都会得到相同的结果,这暗示着可能存在逻辑操作符被滥用的情形;而要获得隐藏的信息,则需更深入地分析实际的查询结构[^4]。 - **反射型XSS/源码泄露**:有时开发者会在HTML注释里留下调试信息或者其他不应该公开的内容。就像所展示的一样,直接从浏览器端就能看到包含重要线索的备注部分[^5]。 #### 攻略建议 为了更好地准备这类赛事,以下是几点实用技巧: - 学习基础理论知识,包括但不限于HTTP协议、常见的编程语言特性(特别是PHP)、正则表达式的使用等; - 掌握多种工具和技术手段,比如Burp Suite用于拦截和篡改流量,Wireshark网络抓包分析,Metasploit框架实施渗透测试等等; - 多加练习真实世界里的CTF挑战目,积累实战经验的同时也熟悉不同类型的解法模式; - 关注最新的安全动态和技术趋势,保持对新兴威胁的高度警觉性和快速响应能力。
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

未知百分百

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值