【ctf】whireshark流量分析之tcp_杂篇

目录

简介

常考

图片类

提取png.pcap(常规)

异常的流量分析(*,特殊)

john-in-the-middle(特殊)

​编辑

zip类

1.pcap(常规)

方法1(常规提取压缩包)

方法2(foremost,但是很多时候会失败)

modbosreverse(有点难)

a547dd9a(含音频杂项,含tls,含ftp协议)——好题

hardhacker(rar压缩包,不常考)没成功

工控协议数据分析(*)



简介

tcp篇我觉得一般有两个类

杂篇:流量分析与misc结合,这类题比较常见。我想这也可能是为什么流量分析被归为杂项的原因之一。

web篇:分别是流量分析于web结合,也就是抓的web的包,这类比较难,需要真正的分析流量,当然做多了就简单了。

注意:题目是我搜刮来的,你在网上不一定搜得到原题


 ips:*表示可以在网上搜到的题

常考

图片类

这类是流量分析与图片结合的杂项题,难一点就是图片的提取,再者就是图片提取出来后,图片类隐写。这么看来也没什么难的,就是靠点综合一点。

提取png.pcap(常规)

这个名字是我自己取的,主要是为了找的时候方便,比赛的时候肯定不会提示

查看协议都有啥

tcp比较多,可能流里面藏东西了(其实比赛的时候我都不看这个协议分级的,就几种可能,先搜flag,没出,就试试其他的,就几种可能,试过来完还不出,就直接放弃吧)

查了一下,有个flag.png

追踪一下流,发现就3个流,在第三个流中有png图片头的表示

tips:流是从0开始数的

找好文件头89504e7,然后变成原始数据进行复制比较稳

直接复制到这里就行,我当时还以为必须复制到文件尾呢,想了想才发现,不需要

然后放到一个文本里

打开用010

将数据导进去

ctrl+s保存为1.png

得到flag,用工具提取出来就行


异常的流量分析(*,特殊)

分析不出啥,ctrl+f?导一下?formoste分离?strings?

流也只有三个,也没什么可以用信息,就第三个流看着像密码,要是比赛,建议大家记一下,也有可能是flag,谁知道呢

穷途末路了,默默的去看了一眼题解。。。。

然后就我就开始表演了

发现被base64加密的图片

复制出来解密,随波逐流一导

然后用工具吧flag提取出来就行

flag{4eSyVERxvt70}

或者删掉前面的头和尾后面的换行符

cyberchef这个工具


john-in-the-middle(特殊)

基本全是http,直接开导

flag不能直接发现

答案就是这个有小旗子的图片(flag就是旗帜的意思)

是png隐写

找张看的清楚的,直接抄下来吧

这里就会有个疑问了

为什么提取png.pcap的时候,为什么里面的那个图片不能直接提取出来,为什么john-in-the-middle这道题可以提取到图片呢?他们不都是在数据里面传输吗?

因为png.pcap这道题没有http协议呀,打出选项里面,只有这几种

最常用的就是http,其他的我都没用过(个人感觉就ftp可能会用,刚好有道ftp的题,回来一起看看)


zip类

压缩包类的题一般藏的地方就再流里面,可能会被拆分,你需要合并起来,但是在流里面,一定能找到。难一点的就是压缩包的密码不好找,密码藏的地方就多了,但是做多了,就简单了。

1.pcap(常规)

这道题是流量分析与压缩包结合的,最常见的题

方法1(常规提取压缩包)

这样可能会失败

用另一种方法,原始数据一般很稳

flag{91e02cd2b8621d0c05197f645668c5c4}

方法2(foremost,但是很多时候会失败)

虽然会失败,但是可以快速检测是否有压缩包啊,图片啊什么的

这次也失败了,因为里面的东西太杂,分离的时候,混到一起了

你用linux里面的foremost一样,我有windows,更快

linux的命令是

foremost 1.pcap

里面有个压缩包,不能用

原因嘛就是因为这个(我用一个正确的压缩包和他对比,你看看)

上面的是正确的压缩包,下面的是foremost提取的,可以看出倒中间的时候就开始不对了,所以解压不出来也正常


modbosreverse(有点难)

这道题是前几天刚比赛出的题,题目名字看着像逆向

但是我印象里面modbus协议大多是流量分析,我放linux里面file了一下

果然是流量分析,修改后缀打开

这是工业的流量分析,有点难,但是简单的考点就是浏览一遍,就208个包

你就会发现,里面有压缩包

其实ctrl+f搜索flag也能搜到

现在提取压缩包

仔细观察发现压缩包是分成了三段,头是504b0304

我们看第一个103这个流

两个提取方法(我已经提过6遍了,想吐,前几次没成功还是因为没注意有第三个包)

或者

反正,最后增增减减,得到了zip,结果需要密码

追踪流,一般密码就在流里面

你会发现只有一个流,根据经验,密码大多就藏在流里面,看的出好像有点规律的样子

然后就对这些流的内容做处理,得到

但是爆破出的答案是kQsuZjg2iXHPJDfCmHZQ4crFby4SAWgV

需要去掉前后的[和],这一题很狗

去尾用这个.?$

爆破出kQsuZjg2iXHPJDfCmHZQ4crFby4SAWgV

还加密了,用python逆过来,不会用的用puzz也行

a='=0HNql2awEDNx0WO0AjNspGa4s2aplmMxgzN3kzM2ETOstnboNXb'
print(a[::-1])

凯撒加密了

mshn{l9163977812iikk8hjl6049m1410kij4}

flag{e9163977812bbdd8ace6049f1410dbc4}


a547dd9a(含音频杂项,含tls,含ftp协议)——好题

做这一题之前,给大家科普一下

https中的s可以理解为安全的意思,本身的意思就是tls的意思,相当于加了一层保护,如果像得到机密的传输流(不解密的话,看着是乱码),需要找到key,然后倒入wireshark中的tls里面

看见tls了吧,被加密了

找加密的key,key一般就长这样,在第58个流里面可以找到

导出来,另存为

找首选项

点ok

因为看见了ftp协议,导出来

可以看见flag.zip,要密码

在流里面着了几个很像的,但是不是,最后在导出http中找到

发现一个大的异常的文件(图片我已经看过了,都是gif,没什么东西)

你们保存出来,我这边不知道为什么保存不出来,就只能手动导出来了

复制粘贴一下原始数据,哦对了,我追踪的是http流,其实都差不多

找到压缩包头,复制到文件尾

保存后,打开010

导进去

得到压缩包,里面是个音频

用Audacity打开,选择这个,点击波形图

查看波形图

放大,发现密码,电脑死机了,没展开完

得出密码为

AaaAaaaAAaaaAAaaaaaaAAAAAaaaaaaa!

解密得

flag{4sun0_y0zora_sh0ka1h@n__#>>_<<#}


hardhacker(rar压缩包,不常考)没成功

先记一下文件头

题目(不完整):

攻击者使用webshell管理工具下载了某个文件,找出文件,密码为攻击者取款密码(到这一步咱就停就行了),最后巴拉巴拉,需要找江萌的所有金额
找压缩包
根据长度排序即可,一般来说最长的数据包就是传输文件
但是这一题所要解压的压缩包不是他,这就很鸡肋,好几个压缩包呢
我们解压的是这个
然后就发现了rar头,我们转换成原始数据,从52617221开始提取到最后(其实最后也有7位蚁剑产生的随机数,两个16进制为一位)
尾一直到最后,然后我们再去删一下
然后倒入文件
还加密了
根据提示,密码为攻击者取款密码,取款密码通常为 6 位,所以直接使用 passware 开始爆破 6 位数字 

不知道归为哪一类,但是也算比较常考的类型,没收集那么多,先写到这里,回来再补

工控协议数据分析(*)

还是工业的题,这道属于中稍微简单的题,通过这道题,能学习到tshark的另一个功能

s7协议经常把信息隐藏在data位置,或者就在wirte var这个“写”包里。

第48个包左右就可以看见了,而且总共也就180个包,很少

我们提取data位的数据,开始构造thark语句

-e "s7comm.resp.data",这个是我要提取的数据

-Y "frame[51:10] == 32:01:00:00:00:01:00:0e:00:08"这个是我们要过滤的条件,以防提取的时候掺杂其他东西

所以就是

tshark.exe -r s7.pcap -Y "frame[51:10] == 32:0
1:00:00:00:01:00:0e:00:08" -T fields -e "s7comm.resp.data"

01100110
01101100
01100001
01100111
01111011
01100110
01101100
01100001
01100111
01011111
01101001
01110011
01011111
01101000
01100101
01110010
01100101
01111101

二进制解码是

少了一个f,问题不大

flag{flag_is_here}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/577642.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

[足式机器人]Part4 南科大高等机器人控制课 CH10 Bascis of Stability Analysis

本文仅供学习使用 本文参考&#xff1a; B站&#xff1a;CLEAR_LAB 笔者带更新-运动学 课程主讲教师&#xff1a; Prof. Wei Zhang 南科大高等机器人控制课 Ch10 Bascis of Stability Analysis 1. Background1.1 What is Stability Analysis1.2 General ODE Models for Dynamic…

Web前端VScode/Vue3/git/nvm/node开发环境安装

目录 1 基本配置 2 安装vscode 3 安装vue 4 配置bash 5 安装nvm 6 安装node 7 安装yarn 8 新建项目 9 运行helloworld 1 基本配置 本篇是为了做前端开发的环境而写。使用的操作系统是windows 10 64位 2 安装vscode 现在做vue和node基本就是vscode和webstorm&#x…

Cesium.js三维地图的实现(依托天地图CDN文件)

零、技术选型&#xff1a; Vue2、VueCli5、天地图、Cesium.js 一、通过天地图官网案例实现 需要引入天地图官方提供的CDN链接访问Cesium.js相关文件 相关文件&#xff1a; https://api.tianditu.gov.cn/cdn/demo/sanwei/static/cesium/Cesium.js https://api.tianditu.gov.cn/…

【WPF.NET开发】数据绑定应用场景

目录 1、实现属性更改通知 示例 2、双向绑定​​​更新源 示例 3、对分层数据使用主-从模式 示例 4、对分层 XML 数据使用主-从模式 示例 5、绑定两个控件的属性 示例 6、创建和绑定到 ObservableCollection 示例 7、使用 XMLDataProvider 和 XPath 查询绑定到 XML…

喜报!酷克数据携手中移在线入选2023大数据“星河”数据库优秀案例

12月20日-21日&#xff0c;由中国信通院、中国通信标准化协会主办&#xff0c;中国通信标准化协会大数据技术标准推进委员会承办的“2023数据资产管理大会”在京召开。 在会上&#xff0c;第七届大数据“星河&#xff08;Galaxy&#xff09;”案例评选结果正式公布。中移在线服…

Local Binary Convolutional Neural Networks (LBCNN)

论文&#xff1a;https://arxiv.org/abs/1608.06049 代码&#xff1a;GitHub - juefeix/lbcnn.torch: Torch implementation of CVPR17 - Local Binary Convolutional Neural Networks http://xujuefei.com/lbcnn.html 摘要&#xff1a; 我们提出了局部二值卷积(LBC)&#x…

【ScienceAI Weekly】DeepMind最新研究再登Nature;我国首个自研地球系统模型开源;谷歌推出医疗保健模型

AI for Science 的新成果、新动态、新视角抢先看—— * DeepMind 最新研究 FunSearch 登 Nature * 谷歌推出医疗保健行业模型 MedLM * 晶泰科技冲刺港交所&#xff0c;AI机器人赋能 AI for Science * GHDDI 与微软研究院科学智能中心达成合作 * 用于地震学处理分析的 AI 工…

【华为机试】2023年真题B卷(python)-分月饼

一、题目 题目描述&#xff1a; 中秋节公司分月饼&#xff0c;m个员工&#xff0c;买了n个月饼&#xff0c;m<n&#xff0c;每个员工至少分1个月饼&#xff0c;但可以分多个&#xff0c;单人份到最多月饼的个数为Max1&#xff0c;单人分到第二多月饼的个数是Max2&#xff0c…

python(上半部分)

第一部分 1、input()语句默认结果是字符串 2、type()可以判断变量的类型 3、input()输出语句 &#xff08;默认为字符串类型&#xff09; 4、命名规则&#xff1a;中文、英文、数字、_&#xff0c;数字不可开头&#xff0c;大小写敏感。 5、 %s&#xff1a;将内容转换成…

Java并发(二十一)----wait notify介绍

1、小故事 - 为什么需要 wait 由于条件不满足&#xff08;没烟干不了活啊&#xff0c;等小M把烟送过来&#xff09;&#xff0c;小南不能继续进行计算 但小南如果一直占用着锁&#xff0c;其它人就得一直阻塞&#xff0c;效率太低 于是老王单开了一间休息室&#xff08;调…

vue场景 无分页列表条件过滤,子组件多选来自父组件的列表

日常开发中&#xff0c;经常会遇到下面场景&#xff1a; 页面加载一个无分页列表&#xff0c;同时工具栏设置多个条件可对列表过滤的场景(典型的就是关键字模糊查询)父组件传给子组件列表&#xff0c;子组件中需要多选列表多选&#xff0c;选择结果返回父组件 1 无分页列表过…

行业首台7英寸彩屏,掌阅iReader Color 7 发布

12月22日消息&#xff0c;掌阅iReader 继2021年发布 C6 Pro 后&#xff0c;时隔2年再次推出彩屏系列新产品 Color 7&#xff0c;该产品为彩色电子纸智能阅读本&#xff0c;采用 Kaleido3 新一代彩色电子纸技术&#xff0c;黑白像素密度为 300PPI &#xff0c;彩色像素密度为 15…

并发程序设计--D1进程的创建和回收

进程和程序内容区别 进程包含的内容&#xff1a; BSS段&#xff1a;存放程序中未初始化的全局变量 数据段&#xff1a;已初始化的全局变量 代码段&#xff1a;程序执行代码 堆&#xff08;heap&#xff09;&#xff1a;malloc等函数分配内存 栈(stack)&#xff1a;局部变量…

让学习成为一种生活方式:数字化助力终身学习

12月以来,“让学习成为一种生活方法”全民终身学习活动在北京、安徽、湖北、湖南、云南等地密集启动,而依托数字化赋能终身学习成为共同关键词。 近年来,随着教育现代化体系的不断深入推进,数字化转型成为建设高质量终身学习体系的重要“推动力”,数字技术与大数据的应用汇聚了…

2023新能源汽车,吵得越凶,卖得越多

作者 | 辰纹 来源 | 洞见新研社 2023年的汽车行业很残酷&#xff0c;合资大败退&#xff0c;市场份额被自主品牌大幅渗透&#xff0c;三菱退出中国市场&#xff0c;成为真实写照。 新能源车企&#xff0c;威马领头&#xff0c;天际、自游家NIUTRON、恒驰、爱驰、雷丁等造车新…

如何学习VBA_3.2.10:人机对话的实现

我给VBA的定义&#xff1a;VBA是个人小型自动化处理的有效工具。利用好了&#xff0c;可以大大提高自己的劳动效率&#xff0c;而且可以提高数据处理的准确度。我推出的VBA系列教程共九套和一部VBA汉英手册&#xff0c;现在已经全部完成&#xff0c;希望大家利用、学习。 如果…

智能优化算法应用:基于斑马算法3D无线传感器网络(WSN)覆盖优化 - 附代码

智能优化算法应用&#xff1a;基于斑马算法3D无线传感器网络(WSN)覆盖优化 - 附代码 文章目录 智能优化算法应用&#xff1a;基于斑马算法3D无线传感器网络(WSN)覆盖优化 - 附代码1.无线传感网络节点模型2.覆盖数学模型及分析3.斑马算法4.实验参数设定5.算法结果6.参考文献7.MA…

算法导论复习(三)

这一次我们主要复习的是递归式求解 递归式求解主要有的是三种方法&#xff1a; 代换法递归树法主方法 我们进行处理的时候要 代换法 方法讲解 主要就是猜测答案的形式 我们只在乎 n 在无穷大的时候成立就行 关于答案的形式&#xff0c;我发现最后能够是 n log n 的形式的…

SUS-Chat-34B领先一步:高效双语AI模型的突破

引言 在人工智能领域&#xff0c;模型的规模和效能一直是衡量其先进性的关键指标。南方科技大学联合IDEA研究院CCNL团队最新开源的SUS-Chat-34B模型&#xff0c;以其340亿参数的庞大规模和卓越的双语处理能力&#xff0c;在AI界引起了广泛关注。 模型概述 SUS-Chat-34B是基于…

在VSCode中使用Git教程

文章目录 提交代码操作分支提交远程库拉取代码参考 介绍一下如何在VSCode中使用Git 首先在VSCode中打开一个项目 打开项目后, 点击下图按钮, 可以引入Git 提交代码 点击 &#xff1b;相当于git add. 下面两张图, 第一张表示改文件后的号, 只会add本文件. 第二张图表示这段时…