xxx
- 前言
- 00x0
前言
记录一些流量分析的wp
00x0
key.pcapng
直接ctrl+f查找flag
for1(题目提示pwn).pcapng
先搜flag,没有结果
根据提示搜pwn,找到flag
64da5a4a1e024d198dfa307299965b6d.pcapng
直接搜flag没找到,udp请求也没统计出什么东西,我们用flag十六进制编码后的结果查询
发现一个十六进制编码
追踪流,解码
attack_log_analysis.pcap
搜索flag{的十六进制编码,发现一个十六进制编码
解码,得到一个flag
可恶的黑客.pcapng
翻数据流,翻到unicode加密的语句
输入flag转成的unicode字符串
查找,显示未找到,退一步,插f
找到语句
追踪流,解码,找到flag
caidao.pcapng
追踪一个tcp流,发现flag.tar.gz文件,第二个流发现一句话木马,第三个流发现一串意味不明的文件有X@Y
X@Y为请求体中执行结果的响应
追踪该字符串,显示分组字节,去掉头尾的X@Y,再解码为压缩包的形式
找到flag
test.pcap
追踪http流,发现执行语句
多翻几个http流,发现一个一句话木马以及一个压缩文件格式的数据流
这边我们追踪这个数据流,用老办法去头去尾,用压缩文件格式显示,发现flag
liuliang.pcap
追踪http流,翻包,发现超长字符串,显示为分组字节,用base64解码,z1解密后显示为下图,发现路径下有一个zip文件
将z2保存为zip格式
直接开是开不了的
我们先用notepad打开,将hex转为ascii码,再保存,再尝试打开
找到flag
misc4.pcap
题目提示“一个特殊的php文件名”
先追踪http流,发现一个文件
查看他的返回包,找到flag
telnet.pcap
提示为ascii的退格
先追踪流
翻了http流,没发现什么有用的信息,追踪tcp流,发现一个特殊的数据流
观察后得出为登录界面
发送包和返回包组合在了一起
更改为只显示发送包
发现flag,但有几个特殊的字符
更改显示为hex转储,锁定未知字符位置
对比ascii字典,发现是退格
那么flag就是
2004225e9ff0cd86ee4.pcapng
蓝牙协议
蓝牙协议一般与OBEX协议有关
所以我们直接统计–>协议分级,查找有无OBEX协议,找到OBEX协议
再查找跟进OBEX
找到一个这样的数据流
是一个.7z的压缩包
输出分组字节流为.7z压缩包,打开是一个txt文件,但是需要密码,提示就是蓝牙的PIN码
所以我们直接ctrl+f查找PIN
当我们查找分组详情时,发现一个reply的包,找到PIN码
输入PIN码,得到flag
流量中的线索.pcapng
先统计–>协议分级,发现http协议占比较大没什么有用的信息
再统计–>http–>请求查看http请求下有哪些东西,发现一个fenxi.php
没办法直接查找,我们记住名字,ctrl+f查找fenxi.php
这边找到四个包与fenxi.php有关,我们直接看返回的包
直接找最具有文件特征的字符串
base解码后发现JFIF,直接显示为图像找到flag
666666.pcapng
菜刀流量
也是先统计http请求下有什么
发现一个1.php文件
追踪查找,发现一个文件
里面带pk,导出为zip格式,得到一个flag.txt,但是需要密码
继续翻http流量
翻到一个很长的字符串,开头是FFD8FFE0,正好是jpg开头的十六进制
导出为txt,打开后将‘z2=’删除,再用notepad打开,转换为ascii码
保存后修改格式为jpg,打开
输入密码
0ebb974edd304dc79aac8339b14b877e.pcap
工业协议分析
翻统计没翻出什么有用的信息,找来找去也都是些没用的数据流
所以我们直接用字节长排序,找最长的数据流,果然找到了一个文件
直接打开,显示为base64加密的png文件
所以我们直接保存为png文件,然后用notepad文件打开,全选然后用base64解码
得到下图
关闭后重新打开,删去PNG前一个逗号前的全部字符,保存
得到flag
dianli_jbctf_MISC_T10075_20150707_wireshark.pcap
管理员密码即flag
我们直接找http流量,并且找password
CTF.pcapng
getshell
提示1040和4444端口
先看协议,没什么信息,但是tcp流很多,随便翻翻,太多了,直接字符长排序,然后看最长的,翻几个发现base64加密的字符串
解码,得到flag