[BUUCTF]大流量分析 writeup

最新推荐文章于 2025-05-12 09:00:00 发布
最新推荐文章于 2025-05-12 09:00:00 发布
阅读量1.4k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: ctf 文章标签: tcp/ip http windows ctf misc
不允许转载
本文链接:https://blog.youkuaiyun.com/weixin_46081055/article/details/120104830
这篇博客详细解析了BUUCTF挑战中的大流量分析问题。通过统计和过滤流量包,确定了黑客的攻击IP为183.129.152.140,黑客使用SMTP协议发送钓鱼邮件,邮件内容经过base64和quoted-printable编码,采用gb2312编码。此外,黑客在/data/uploadfile目录下上传了多个疑似shell的文件,其中包含phpinfo(),暴露了命令执行漏洞。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

重要的话写前面,不要靠近这个题,会变得不幸
没什么逻辑,感觉是大流量 恶心人的…也可能是我没看懂哦

[BUUCTF]大流量分析

某黑客对A公司发动了攻击,以下是一段时间内我们获取到的流量包

1.黑客的攻击ip是多少?
2.黑客使用了哪个邮箱给员工发送了钓鱼邮件?
3.那黑客预留的后门的文件名是什么?

统计出现频率比较高的IP,这里不知道D和H的区别所以两个都看看

在这里插入图片描述
172.16.61.200

183.129.152.140 黑客IP

172.16.103.1

172.16.61.199

1.攻击IP

分别过滤几个IP:http && ip.addr == 183.129.152.140

在H流量包中可以看到183.129.152.140对172.16.61.199发起目录穿透恶意请求,并且在header添加恶意代码
黑客IP183.129.152.140
在这里插入图片描述

2.邮箱钓鱼

在第一个流量包中查找SMTP协议,追踪TCP流,可以确定发送邮箱是MAIL FROM:<xsser@live.cn>

最低0.47元/天 解锁文章

200万优质内容无限畅学
BUUCTF——大流量分析一、二、三题
人若无名,便可专心练剑
05-14 1736
我们可以看到除了几个172开头的内网IP地址,就是183.129.152.140这个IP出现的频率最高了,所以我们怀疑这个就是攻击者的IP地址。题目说黑客攻击了A公司,那么进行攻击,且我们手上目前又有攻击留下的数据包,那么里面肯定有很多攻击IP与我们内网IP有交互的。如果是做题目嘛,那么我们就可以把这个地址直接提交,看看是不是正确的,但是真实的工作环境下,我们需要再进行确认下。某黑客对A公司发动攻击,以下是一段时间内我们获取到的流量包,那黑客预留的后门的文件名是什么?
BugkuCTF(old)----流量分析题目Writeup
Au
09-26 2031
flag被盗 文件不是很大,粗略看了一下,发现了shell.php字段 筛选为http流量,追踪TCP查看 直接得到flagflag{This_is_a_f10g} 中国菜刀 下载解压得到数据包,比较小只有7kb 只有TCP和HTTP协议流量,追踪TCP流查看,发现flag.tar.gz压缩包 使用kali集成的 binwa...
BUUCTF:大流量分析(一)
wangjin7356的博客
01-16 5650
题目链接 https://buuoj.cn/challenges#%E5%A4%A7%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90%EF%BC%88%E4%B8%80%EF%BC%89 解题过程 附件有很多不同时段的流量包,打开其中一个看看: 利用统计工具分析一下: 统计-会话。发现183.129.152.140与内网IP建立会话的Packets较多。 统计-端点。同样发现183.129.152.140的包数最多。 统计-IPv4 Statistics-ALL A
BUUCTF 大流量分析(三) 1
最新发布
YueXuan_521的博客
05-12 502
BUUCTF 大流量分析(三) 1 本文介绍了在BUUCTF平台上的一个CTF题目,要求通过分析流量包找出黑客预留的后门文件名。题目提供了一系列pcap流量包,解题思路是通过搜索phpinfo()函数来定位后门文件。最终,在数据采集D_eth0_NS_20160809_172831.pcap流量包中发现执行phpinfo()的文件为admin.bak.php,确认其为黑客预留的后门文件。因此,答案为flag{admin.bak.php}。
大流量分析(一)-BUUCTF
BEGCCYD的博客
11-11 356
https://buuoj.cn/challenges#大流量分析(一) 随便打开一个,直接搜索…/等攻击语句,定位到产生真实攻击IP,得到183.129.152.140 flag为flag{183.129.152.140}
BUUCTF 大流量分析(一) 1
YueXuan_521的博客
05-05 774
BUUCTF 大流量分析(一) 1 某黑客对A公司发动攻击,以下是一段时间内我们获取到的流量包,那黑客攻击ip是多少?(答案加上flag{})附件链接: https://pan.baidu.com/s/1EgLI37y6m9btzwIWZYDL9g 提取码: 9jva 注意:得到的 flag 请包上 flag{} 提交。1、随便打开一个,一般黑客攻击流量会很多,需要使用Wireshark统计功能。下载附件,有很多pcap流量包。的分组数,是除内网IP最多的。最后,确认黑客攻击ip是。
BUUCTF大流量分析(一)
末初 · mochu7
12-02 1520
https://buuoj.cn/challenges#%E5%A4%A7%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90%EF%BC%88%E4%B8%80%EF%BC%89 下载这个就可以了数据采集D_eth0_NS_20160809_164452.pcap wireshark打开后,随便看下,发现除了私有地址,IP出现次数最多得就是:183.129.152.140 flag{183.129.152.140} ...
Bugkuctf ——流量分析 write up(持续更新中)
welcome.php
01-07 2365
流量包分析 CTF 比赛中, 流量包的取证分析是另一项重要的考察方向,有时候电子取证也会涉及到这方面的知识。 通常比赛中会提供一个包含流量数据的 PCAP 文件,有时候也会需要选手们先进行修复或重构传输文件后,再进行分析。 PCAP 这一块作为重点考察方向,复杂的地方在于数据包里充满着大量无关的流量信息,因此如何分类和过滤数据是参赛者需要完成的工作。 铁人三项的话是查找ip 服务器 还原入侵过...
python解二元二次方程_BUUCTF平台Crytpo部分Writeup
weixin_39763953的博客
12-03 2303
[BJDCTF 2nd]rsa1题目链接(buu平台)题解首先拿到题目靶机。nc交互获取得到题目数据得到的条件有ep^2+q^2p-qc明显是一个rsa加密。要去求解这个题目。因为求解rsa嘛。我们本质上肯定是想通过最基础的rsa解密去求解的。也就是我们要获取到私钥d以及公钥n。这边我们通过去求解p和q的值。来求解rsa加密。根据已知信息假设p^2+q^2=ap-q=b其中a、b已知即求解二元二次...
buuctf find
03-31
用户提到了五个引用,其中引用1提到陇剑杯和流量分析题,引用2介绍了BUUCTF Web作为在线安全挑战平台,提到了极客大挑战的题目;引用3涉及密码题解密,比如栅栏密码;引用4讨论了PHP查询字符串的处理和绕过WAF的方法...
BUUCTF大流量分析(二)
wangjin7356的博客
01-16 828
题目链接 https://buuoj.cn/challenges#%E5%A4%A7%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90%EF%BC%88%E4%BA%8C%EF%BC%89 解题过程 打开一个流量包,过滤SMTP流量 选中53041好分组,在中间的“Simple Mail Transfer Protocol”处点击鼠标右键选择“显示分组字节” 找到发送的邮箱:xsser@live.cn flag{xsser@live.cn} ...
BUUCTF——MISC(流量分析
m0_55854679的博客
07-25 5670
也可以使用关键词phpinfo(),仔细查看每一个符合要求的流量包,得到。提示告知是文件传输的流量,那进去过滤http流量包即可,找到关于。,发现flag正确,所以后面看见的邮箱也就不需要试了。等关键字的数据包,另存后使用记事本打开,即可看到。还是上一题的流量包,我们知道发送邮件的协议一般为。在上上一题中,我们得到了黑客攻击IP。这里要找文件名,因为是后门文件,一般是。我们首先尝试第一眼看到的。,首先过滤一下这个IP;发现次数最多的IP地址。2.或者搜索字符串。...
BUUCTF流量分析
2301_76596810的博客
04-07 4946
CTFSHOW :(点击网址跳转)每道题都从以下模板讲解,并且每个步骤都有图片,清晰明了,便于复盘。
大流量分析(二)-BUUCTF
BEGCCYD的博客
11-11 280
https://buuoj.cn/challenges#%E5%A4%A7%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90%EF%BC%88%E4%BA%8C%EF%BC%89
CTF流量分析-题集4-【BUUCTF】Sqltest
m0_51198141的博客
12-04 930
BUUCTF搜索即可盲注本身不算很难,但是如果这样去读取数据的话很容易导致数据的错误,之后会单独出一期。有错误欢迎留言交流。
BUUCTF [第九章][9.3.3 TLS流量分析] Writeup
weixin_42495210的博客
11-29 1774
在wireshark中导入保存的sslkey.log。
BUUCTF-WriteUp
鱼的博客
01-19 502
title: BUUCTF WriteUp date: 2021-01-16 17:44:59 tags: CTF WriteUP WEB [HCTF 2018]WarmUp 启动环境,打开网址是一张滑稽,没什么用,看一下源码,发现有注释。 访问source.php,直接给了源码,进行代码审计。 分两块,第一块是emmm::checkFile,里面做了一些判断。 第二块是一个include,文件包含,我们要绕过验证,也就是上面的checkFile方法。 hint.php include触发的三个判断.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值