攻防世界 misc --流量分析1

最新推荐文章于 2025-04-12 19:31:02 发布

SecPulse

最新推荐文章于 2025-04-12 19:31:02 发布

阅读量562

点赞数 20

文章标签：网络

本文链接：https://blog.youkuaiyun.com/sveewg/article/details/147143129

版权

首先拿到流量包，先追踪一下tcp流，发现就一个包

这个应该是url编码，尝试解一下码

解码后发现还是url编码，继续解码

响应报文没什么问题，看看请求报文的内容：

id=1) and if((ascii(substr((select flag from flag),4,1))='102'),sleep(3),0) --  HTTP/1.1

看不懂，ai一下，就是对flag读取第一个字符转换为ascii码，如果和102相等，就延时三秒

从上面可以看出，这是对数据库中flag值进行盲注，如果成功，就延时3秒，所以我们在wireshark中设置http的延时大于等于三秒的过滤器：http.time >= 3

将每个包的相应值提取出来（可以用脚本，但我不会，有大佬的话可以放评论区），但我提取到第四个时，发现不用进行URL解码，有一个规律，在包中相同的位置就是flag值的数据（例：第一个值是102，但包中的是%2527102，），所以我们只需要把每个包中%2527后面的值收集起来，，再进行ascii解码

最后解出flag： flag{1qwy2781}

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

SecPulse

关注关注

20
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

攻防世界-GA[Misc]流量分析1(pcapng筛选 + URL解码,代码分析)

Future_Hk的博客

02-12

505

通过URL解码后对代码进行分析得到flag

【攻防世界misc--流量分析1】

ncnfjdjjd的博客

02-03

1811

延时注入，wireshark ，encodeURI编码

参与评论您还未登录，请先登录后发表或查看评论

攻防世界-misc-流量分析1

mlws1900的博客

11-15

4164

得到一系列数据包，对每一个数据包进行url解码(听大佬说可以写脚本，我不会，只好手工操作了)对flag读取第一个字符转换为ascii码，如果和40相等，就延时三秒。就在wireshark输入命令，http.time >=3。那我们过滤数据包的条件，也就是猜解成功的条件就是延时三秒。上面一段请求包，可以看到ssrf和sql延时注入。获得第一个ascii码为102的值，也就是f。以此类推，对每一个包进行解码获得ascii值。还存在url编码，继续解码。下载附件，获得一个流量包。复制这个请求内容，解码。

攻防世界 MISC-流量分析1

c868954104的博客

10-16

338

每一个数据包都追踪一下看看注入成功的ascii码，然后换成字符。像是sql注入的语句，urldecode一下。看到请求的url可能是在利用ssrf漏洞。所有的数据包都换算成字符的到flag。注入到正确字符才会sleep 3秒。过滤响应大于三秒的数据包。

攻防世界misc-流量分析1

weixin_45723896的博客

06-04

1542

对这些请求中所有的post请求进行一次encodeURL解码和一次encodeURLComponent解码，if条件中的ASCII码就是flag对应位置的ASCII码，将这些ASCII码保存，放进Python里边进行解码即可得到flag。通过观察post请求可以发现，包含有flag字样，猜测flag就在post请求中，由于请求中的URL不便于阅读，且有乱码，先对这段请求进行encodeURL解码。代码表示如果if条件成立，则休眠3秒（如果查询的字符的ASCII码等于'40'，则休眠3秒）

攻防世界(Misc)——流量分析1

最新发布

weixin_74738833的博客

04-12

901

得到id=1) and if((ascii(substr((select flag from flag),1,1))='40'),sleep(3),0) --关键信息这段代码是典型的 SQL时间盲注攻击载荷，其核心目的是通过条件触发的延迟响应，逐步探测数据库中的敏感信息代表第1个字符是ASCII值为40，而且要求延时超过3s的HTTP协议 step4：过滤http.time>3

攻防世界 - Misc - Level 1 | 流量分析

Blue17 の小窝

01-02

846

所以攻击者估计也是根据页面的这两个标志来判断自己布尔盲注是否成功的。所以接下来，我们只要定位攻击者每次切换攻击位置的数据包然后根据响应包中的关键字，即可判断攻击者是否攻击成功，并且拿到攻击者所获取的信息。此时我们再拓展一下，页面返回包变了，对应的返回包大小是不是也变了。会使用 WireShark 导出 HTTP 请求包列表，并依据大小进行排序。知道了目标采用的是布尔盲注后，我们通过。熟悉布尔盲注的攻击流出。

攻防世界-MISC-心仪的公司-wireshark流量分析

sinat_39522506的博客

08-02

407

源Ip为192.168.1.111。

(MISC)流量分析1-攻防世界【盲注流量】

weixin_40103894的博客

11-11

938

(MISC)流量分析1-攻防世界【盲注流量】

攻防世界流量分析2杂项

11-20

攻防世界流量分析2杂项，misc。此题详细解题博客：https://danbaku.blog.youkuaiyun.com/article/details/127953659

攻防世界miss-01，杂项misc太湖杯

11-01

标题 "攻防世界miss-01，杂项misc太湖杯" 暗示这是一个网络安全相关的挑战，特别是关于“攻防世界”平台上的一个名为“miss_01”的问题，该问题分类在“杂项”（misc）类别下，可能涉及多种技术技能。描述中提到的...

CTF--Misc--流量分析

weixin_53425135的博客

10-06

3606

网络流量包流转于各个环节，我们可以通过捕捉网络中流动的数据包，然后查看流量包内部的数据以及相关协议，流量分析、统计等等。一般情况下，捕捉到数据包可以通过过滤规则得到我们想要的有用的信息，也更好的方便我们进行查找关键信息，提高效率。在计算机网络中传输层协议最常见的是TCP协议，我们可以通过对TCP数据流的追踪与分析。以buuctf–被劫持的礼物为例子，进行正常的过滤、tcp数据追踪得到。功能：可以很直观的看到流量包的大致情况，以及快速定位到需要分析的地方。流量包不是普通的网络流量包，是其它类型的流量包。

攻防世界-misc-arrdeepee

苏生要努力

03-11

1481

题目：我们某一个box被pwn了。在检查过程中，我们发现了一个叫mimikatz的东西，我们以前没有安装过，所以我们清除了，并且重新安装了box。但是安装太麻烦了，除了需要解决openssl 1.0.2和1.1.0+的兼容性问题，还涉及到cmake安装时ffmpeg等各种库的版本问题，回头下载一个2016.2版本的Kali试试看能否正常安装。然后过滤tls协议，可以看到解密后的流量中出现了RDP和TPKT协议。需要输入密码，题目里给出了一个目前没有用到的信息mimikatz，尝试作为密码，成功提取出密钥。

攻防世界 Misc高手进阶区 7分题 流量分析

闵行小鱼塘

02-03

3146

继续ctf的旅程，攻防世界Misc高手进阶区的7分题，本篇是流量分析的writeup

Misc 流量分析

2301_80911344的博客

05-07

1017

网络流量分析是指捕捉网络中流动的数据包，并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。在CTF比赛中，以及各种技能大赛对于流量包的分析取证是一种十分重要的题型。通常这类题目都是会提供一个包含流量数据的pcap文件，参赛选手通过该文件筛选和过滤其中无关的流量信息，根据关键流量信息找出flag或者相关线索。pcap流量包的分析通常都是通过图形化的网络嗅探器-wireshark进行的，这款嗅探器经过众多开发者的不断完善，现在已经成为使用最为广泛的安全工具之一。

MISC：流量分析

qq_55038440的博客

03-27

967

有时候得到的文件后缀为pcap、pcapng等流量包的题，则需要我们分析流量包找出flag。

Misc-流量分析基础

m0_74167420的博客

09-25

1035

第一种：直接搜索flag字符串第二种：flag进行了十六进制编码，通过十六进制编码解决第三种：压缩包流量：tar.gz的压缩包可以直接在wireshark中解压查看，其他的压缩包则要将流量导出来，然后去解码。

Misc流量分析学习心得

m0_73948163的博客

09-26

376

于是我想着追踪流但是也可以点击文件导出对象将文本文件保存起来一个一个打开就是flag。总结一下就是http过滤/关键字过滤/记得看追踪流/如果有大量的文本文件记得导出。打开流量包还是习惯性的过滤了一下http发现了大量的文本文件test.txt。追踪流后发现每个解码后都不一样但是我的脚本能力不太行就一个一个解码。本来我还做了一个sql的题但是那个题也是解码的用脚本去解我不太会。并且是3秒的停留时间于是过滤一下http.time>3。再习惯性的追踪流发现是需要url解码。打开题目发现是一个流量包。

安全攻防知识——CTF之MISC

Karka_的博客

08-04

2446

本周技术分享将介绍安全攻防知识中的MISC部分。MISC，中文即杂项，包括隐写、数据还原、脑洞、社会工程、压缩包解密、流量分析取证、与信息安全相关的大数据等。让我们一起来了解更多吧！

攻防世界misc1-misc

08-29

很抱歉，但是根据提供的引用内容，没有找到关于攻防世界misc1-misc的具体信息。如果有更多的信息或者题目细节，请提供更多内容，我会尽力为您解答。123 #### 引用[.reference_title] - *1* [攻防世界misc2-1杂项](https://download.youkuaiyun.com/download/m0_59188912/87094620)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [攻防世界misc进阶（1~10关）](https://blog.youkuaiyun.com/weixin_53105784/article/details/115310984)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]