晓风彩票_晓风彩票官方网站

晓风彩票_晓风彩票官方网站
晓风彩票【首冲送20%,二充送100% 】最安全、彩种齐全的专业彩票网站,为彩民提供晓风彩票,晓风彩票app,晓风彩票下载,晓风彩票官网,晓风彩票手机版,平台,注册,投注平台,,晓风彩票官方网站,晓风彩票登录双色球,大乐透,3D,时时彩,11选5,快3,足彩,竞彩等多彩种代购、合买、开奖、走势图服务
您所在的位置:主页 > 晓风彩票官方网站 >

CTF-流量分析总结

更新时间:2020-07-10 20:21点击:

  在CTF比赛中,对于流量包的分析取证是一种十分重要的题型。通常这类题目都是会提供一个包含流量数据的文件,选手通过该文件筛选和过滤其中无关的流量信息,根据关键流量信息找出flag或者相关线索,一般flag隐藏在某个数据包里面,或者需要从中提取一个文件出来等等,还有wifi的握手包,需要获取wifi密码等。

  pcap流量包的分析通常是通过图形化的网络嗅探器——Wireshark进行的.

  Wireshark的基本使用分为数据包筛选、数据包搜索、数据包还原、数据提取四个部分。

  点击任意一个符合筛选条件的数据包,找到IPv4下的Destination字段,右键点击Source字段,作为过滤器应用 – 选中。

  eth.dst ==A0:00:00:04:C5:84 筛选目标mac地址 eth.addr==A0:00:00:04:C5:84 筛选MAC地址tcp.dstport == 80 筛选tcp协议的目标端口为80的流量包 tcp.srcport == 80 筛选tcp协议的源端口为80的流量包 udp.srcport == 80 筛选udp协议的源端口为80的流量包tcp 筛选协议为tcp的流量包 udp 筛选协议为udp的流量包 arp/icmp/http/ftp/dns/ip 筛选协议为arp/icmp/http/ftp/dns/ip的流量包udp.length ==20 筛选长度为20的udp流量包 tcp.len =20 筛选长度大于20的tcp流量包 ip.len ==20 筛选长度为20的IP流量包 frame.len ==20 筛选长度为20的整个流量包请求方法为GET:hod==“GET” 筛选HTTP请求方法为GET的 流量包 请求方法为POST:http.request.method==“POST” 筛选HTTP请求方法为POST的流量包 指定URI:http.request.uri==“/img/logo-edu.gif” 筛选HTTP请求的URL为/img/logo-edu.gif的流量包 请求或相应中包含特定内容:http contains “FLAG” 筛选HTTP内容为/FLAG的流量包

  Wireshark的搜索功能支持正则表达式、字符串、十六进制等方式进行搜索,通常情况下直接使用字符串方式进行搜索。

  搜索栏的左边下拉,有分组列表、分组详情、分组字节流三个选项,分别对应wireshark界面的三个部分,搜索时选择不同的选项以指定搜索区域:

  在wireshark中,存在一个追踪流的功能,可以将HTTP或TCP流量集合在一起并还原成原始数据,具体操作方式如下:

  选中想要还原的流量包,右键选中,选择追踪流 – TCP流/UPD流/SSL流/HTTP流。

  Wireshark支持提取通过http传输(上传/下载)的文件内容,方法如下:

  在打开的对象列表中找到有价值的文件,如压缩文件、文本文件、音频文件、图片等,点击Save进行保存,或者Save All保存所有对象再进入文件夹进行分析。

  如果是菜刀下载文件的流量,需要删除分组字节流前开头和结尾的X@Y字符,否则下载的文件会出错。鼠标右键点击 – 选中 显示分组字节

  CTF题型主要分为流量包修复、数据提取、WEB流量包分析、USB流量包分析、无线密码破解和工控流量包分析等等。

  数据包打开,分组字节流查询flag,发现出现了flag.png的字样,但是并没有这个图片文件,往下翻,图片应该在长度较大的流中,追踪tcp流在tcp.stream eq 2处找到图片文件,保存为原始数据

  根据题目提示,手机共享,那么应该是蓝牙传输,蓝牙传输协议为OBEX,过滤后发现含有一个压缩包

  下载cap包,WIFI连接认证的重点在WPA的四次握手包,也就是eapol协议的包,过滤一下

  可以看到13号数据包调用函数CreateFile,然后下面几个可能就是文件内容了,具体是几个,仔细看看URL,738号数据包有个需要调用函数CheckFile,并且前面的5个数据包url的路径一样,

  但是由于TCP包有文件头,我们需要去掉文件头才能将原始数据合成一个文件,

  文件大小是525701字节,我们需要的这5个数据包的大小(Media Type中可看到):

  然后fly.rar又被伪加密了,所以需要将这个文件用HXD打开后,将其中的74 84改为74 80就能打开了

  binwalk一下发现含有很多图片,foremost提取一下,得到一个二维码

  3.第一个受害主机网站数据库的表前缀(加上下划线.第一个受害主机网站数据库的名字

  追踪http流,根据回显内容,目标站点数据库抛出的错误,可以清晰的看见

  1.内网主机的mysql用户名和请求连接的密码hash是多少(用户:密码hash)

  (ip.addr == 192.168.1.8 ip.addr == 202.1.1.2) && http

  我们清晰的看见黑客的php代理第一次使用时最先连接4.2.2.2这个ip

  18:37:38.482420既然该192.168.2.20的机器可以执行命令,于是我改变过滤方式,查看黑客如何进行攻击

  我们进一步跟进黑客执行的指令,由于是中国菜刀流量,我们选择根据回显明文,猜测指令,这样更有效率

  在此期间,一共4个POST请求,我们挨个查看,果不其然,在第一个POST中就发现了问题

  kaka最后一题既然是下载,应该是利用中国菜刀进行下载了,那我们只过滤出post流量,查看命令即可

  转载自:漏斗社区 0x01 介绍 在CTF比赛中,对于流量包的分析取证是一种十分重要的题型。通常这类题目都是会提供...

  取证类题目 在CTF中,取证赛题包括了文件分析、隐写、内存镜像分析和流量抓包分析。任何要求检查一个静态数据文件(与...

  转载自:漏斗社区 01基本介绍 在CTF比赛中,对于流量包的分析取证是一种十分重要的题型。通常这类题目都是会提供一...

  3.1. 介绍 现在,您已经安装了Wireshark并有可能热衷于开始捕捉您的第一个数据包。在接下来的章节中,我们...

  后期整理字体以及排版问题,修订不适合的翻译 “A wealth of information. Smart, ye...


晓风彩票_晓风彩票官方网站

晓风彩票_晓风彩票官方网站 |

Copyright © 2002-2017 DEDECMS. 织梦科技 版权所有晓风彩票【首冲送20%,二充送100% 】最安全、彩种齐全的专业彩票网站,为彩民提供晓风彩票,晓风彩票app,晓风彩票下载,晓风彩票官网,晓风彩票手机版,平台,注册,投注平台,,晓风彩票官方网站,晓风彩票登录双色球,大乐透,3D,时时彩,11选5,快3,足彩,竞彩等多彩种代购、合买、开奖、走势图服务晓风彩票【首冲送20%,二充送100% 】最安全、彩种齐全的专业彩票网站,为彩民提供晓风彩票,晓风彩票app,晓风彩票下载,晓风彩票官网,晓风彩票手机版,平台,注册,投注平台,,晓风彩票官方网站,晓风彩票登录双色球,大乐透,3D,时时彩,11选5,快3,足彩,竞彩等多彩种代购、合买、开奖、走势图服务晓风彩票_晓风彩票官方网站

晓风彩票_晓风彩票官方网站官方微信公众号