xxx

  • 前言
  • 00x0



前言


记录一些流量分析的wp


00x0

key.pcapng

直接ctrl+f查找flag

怎么用wireshark软件看实时流量 wireshark查看流量大小_怎么用wireshark软件看实时流量

for1(题目提示pwn).pcapng

先搜flag,没有结果

根据提示搜pwn,找到flag

怎么用wireshark软件看实时流量 wireshark查看流量大小_学习_02

64da5a4a1e024d198dfa307299965b6d.pcapng

直接搜flag没找到,udp请求也没统计出什么东西,我们用flag十六进制编码后的结果查询

怎么用wireshark软件看实时流量 wireshark查看流量大小_字符串_03

发现一个十六进制编码

怎么用wireshark软件看实时流量 wireshark查看流量大小_学习_04

追踪流,解码

怎么用wireshark软件看实时流量 wireshark查看流量大小_测试工具_05

attack_log_analysis.pcap

搜索flag{的十六进制编码,发现一个十六进制编码

怎么用wireshark软件看实时流量 wireshark查看流量大小_测试工具_06

解码,得到一个flag

怎么用wireshark软件看实时流量 wireshark查看流量大小_字符串_07

可恶的黑客.pcapng

翻数据流,翻到unicode加密的语句

怎么用wireshark软件看实时流量 wireshark查看流量大小_字符串_08

输入flag转成的unicode字符串

怎么用wireshark软件看实时流量 wireshark查看流量大小_字符串_09

查找,显示未找到,退一步,插f

怎么用wireshark软件看实时流量 wireshark查看流量大小_怎么用wireshark软件看实时流量_10

找到语句

怎么用wireshark软件看实时流量 wireshark查看流量大小_学习_11

追踪流,解码,找到flag

怎么用wireshark软件看实时流量 wireshark查看流量大小_学习_12

caidao.pcapng

追踪一个tcp流,发现flag.tar.gz文件,第二个流发现一句话木马,第三个流发现一串意味不明的文件有X@Y
X@Y为请求体中执行结果的响应

怎么用wireshark软件看实时流量 wireshark查看流量大小_学习_13

怎么用wireshark软件看实时流量 wireshark查看流量大小_字符串_14

追踪该字符串,显示分组字节,去掉头尾的X@Y,再解码为压缩包的形式

怎么用wireshark软件看实时流量 wireshark查看流量大小_学习_15

找到flag

怎么用wireshark软件看实时流量 wireshark查看流量大小_测试工具_16

test.pcap

追踪http流,发现执行语句
多翻几个http流,发现一个一句话木马以及一个压缩文件格式的数据流

怎么用wireshark软件看实时流量 wireshark查看流量大小_学习_17


怎么用wireshark软件看实时流量 wireshark查看流量大小_测试工具_18

这边我们追踪这个数据流,用老办法去头去尾,用压缩文件格式显示,发现flag

怎么用wireshark软件看实时流量 wireshark查看流量大小_字符串_19

liuliang.pcap

追踪http流,翻包,发现超长字符串,显示为分组字节,用base64解码,z1解密后显示为下图,发现路径下有一个zip文件

怎么用wireshark软件看实时流量 wireshark查看流量大小_字符串_20

将z2保存为zip格式

怎么用wireshark软件看实时流量 wireshark查看流量大小_字符串_21

直接开是开不了的

我们先用notepad打开,将hex转为ascii码,再保存,再尝试打开

怎么用wireshark软件看实时流量 wireshark查看流量大小_wireshark_22

找到flag

怎么用wireshark软件看实时流量 wireshark查看流量大小_字符串_23

misc4.pcap

题目提示“一个特殊的php文件名”
先追踪http流,发现一个文件

怎么用wireshark软件看实时流量 wireshark查看流量大小_字符串_24

查看他的返回包,找到flag

怎么用wireshark软件看实时流量 wireshark查看流量大小_怎么用wireshark软件看实时流量_25

telnet.pcap

提示为ascii的退格

先追踪流
翻了http流,没发现什么有用的信息,追踪tcp流,发现一个特殊的数据流

怎么用wireshark软件看实时流量 wireshark查看流量大小_测试工具_26


观察后得出为登录界面

发送包和返回包组合在了一起

更改为只显示发送包

怎么用wireshark软件看实时流量 wireshark查看流量大小_测试工具_27


发现flag,但有几个特殊的字符

怎么用wireshark软件看实时流量 wireshark查看流量大小_学习_28

更改显示为hex转储,锁定未知字符位置

怎么用wireshark软件看实时流量 wireshark查看流量大小_测试工具_29

对比ascii字典,发现是退格

怎么用wireshark软件看实时流量 wireshark查看流量大小_测试工具_30

那么flag就是

怎么用wireshark软件看实时流量 wireshark查看流量大小_wireshark_31

2004225e9ff0cd86ee4.pcapng

蓝牙协议
蓝牙协议一般与OBEX协议有关
所以我们直接统计–>协议分级,查找有无OBEX协议,找到OBEX协议
再查找跟进OBEX

怎么用wireshark软件看实时流量 wireshark查看流量大小_wireshark_32


找到一个这样的数据流

怎么用wireshark软件看实时流量 wireshark查看流量大小_wireshark_33


是一个.7z的压缩包

输出分组字节流为.7z压缩包,打开是一个txt文件,但是需要密码,提示就是蓝牙的PIN码

所以我们直接ctrl+f查找PIN

当我们查找分组详情时,发现一个reply的包,找到PIN码

怎么用wireshark软件看实时流量 wireshark查看流量大小_测试工具_34

输入PIN码,得到flag

怎么用wireshark软件看实时流量 wireshark查看流量大小_怎么用wireshark软件看实时流量_35

流量中的线索.pcapng

先统计–>协议分级,发现http协议占比较大没什么有用的信息

再统计–>http–>请求查看http请求下有哪些东西,发现一个fenxi.php

没办法直接查找,我们记住名字,ctrl+f查找fenxi.php

这边找到四个包与fenxi.php有关,我们直接看返回的包

直接找最具有文件特征的字符串

怎么用wireshark软件看实时流量 wireshark查看流量大小_wireshark_36

base解码后发现JFIF,直接显示为图像找到flag

怎么用wireshark软件看实时流量 wireshark查看流量大小_wireshark_37

666666.pcapng

菜刀流量

也是先统计http请求下有什么

怎么用wireshark软件看实时流量 wireshark查看流量大小_怎么用wireshark软件看实时流量_38

发现一个1.php文件

追踪查找,发现一个文件

怎么用wireshark软件看实时流量 wireshark查看流量大小_字符串_39

里面带pk,导出为zip格式,得到一个flag.txt,但是需要密码

怎么用wireshark软件看实时流量 wireshark查看流量大小_测试工具_40

继续翻http流量

翻到一个很长的字符串,开头是FFD8FFE0,正好是jpg开头的十六进制

怎么用wireshark软件看实时流量 wireshark查看流量大小_字符串_41

导出为txt,打开后将‘z2=’删除,再用notepad打开,转换为ascii码

怎么用wireshark软件看实时流量 wireshark查看流量大小_测试工具_42


保存后修改格式为jpg,打开

怎么用wireshark软件看实时流量 wireshark查看流量大小_怎么用wireshark软件看实时流量_43

输入密码

怎么用wireshark软件看实时流量 wireshark查看流量大小_测试工具_44

0ebb974edd304dc79aac8339b14b877e.pcap

工业协议分析

翻统计没翻出什么有用的信息,找来找去也都是些没用的数据流

所以我们直接用字节长排序,找最长的数据流,果然找到了一个文件

怎么用wireshark软件看实时流量 wireshark查看流量大小_学习_45

直接打开,显示为base64加密的png文件

怎么用wireshark软件看实时流量 wireshark查看流量大小_学习_46

所以我们直接保存为png文件,然后用notepad文件打开,全选然后用base64解码

怎么用wireshark软件看实时流量 wireshark查看流量大小_怎么用wireshark软件看实时流量_47

得到下图

怎么用wireshark软件看实时流量 wireshark查看流量大小_字符串_48

关闭后重新打开,删去PNG前一个逗号前的全部字符,保存

怎么用wireshark软件看实时流量 wireshark查看流量大小_怎么用wireshark软件看实时流量_49


怎么用wireshark软件看实时流量 wireshark查看流量大小_wireshark_50

得到flag

怎么用wireshark软件看实时流量 wireshark查看流量大小_学习_51

dianli_jbctf_MISC_T10075_20150707_wireshark.pcap

管理员密码即flag

我们直接找http流量,并且找password

怎么用wireshark软件看实时流量 wireshark查看流量大小_怎么用wireshark软件看实时流量_52

CTF.pcapng
getshell

提示1040和4444端口

先看协议,没什么信息,但是tcp流很多,随便翻翻,太多了,直接字符长排序,然后看最长的,翻几个发现base64加密的字符串

怎么用wireshark软件看实时流量 wireshark查看流量大小_学习_53

解码,得到flag

怎么用wireshark软件看实时流量 wireshark查看流量大小_测试工具_54