目录
1.Networking
2.key
3.Telnet_Cmd
4.first_contact
5.SecretFile
6.邮件涉密分析
7.smtp_attachment
8.online_game
1.Networking
此题直接选取一个数据包追踪TCP流 就能看到flag
在追踪流里选择TCP流
成功找到flag
2.key
发现有TCP数据包
通过分析数据包发送的先后顺序 判断出是192.168.228.1先发送的请求 192.168.228.135响应了请求
在过滤器中输入 ip.src==192.168.228.135 and http
过滤 ip.src==192.168.228.135 and http (ip.src表示源地址)
此过滤可以筛选出来自192.168.228.135的http响应包
发现有200 OK的回显页面 还附带了text/html的界面 直接追踪TCP流
发现flag
3.Telnet_Cmd
题目描述:
打开数据包
看到了TCP三次握手的过程 分析一下 是10.0.0.101率先发起请求的 所以它应该是黑客
过滤 ip.src==10.0.0.101 and telnet(看一下用黑客telnet发送了些什么)
有好多数据包 直接选一个追踪TCP流
在文件最末尾处找到flag
4.first_contact
题目描述:
打开数据包
看到了TCP三次握手 确定128.238.118.96是机器人 107.22.208.224是坠毁的船舶
既然要知道坠毁的位置 肯定是需要找到船舶发出来的数据包 数据包里面才会存储信息
所以过滤的源ip应该是船舶的ip
过滤 ip.addr==107.22.208.224
选取一个数据包追踪TCP流
成功找到船舶坐标
5.SecretFile
题目描述:
打开数据包
根据TCP三次握手分析出黑客IP为10.0.0.115
过滤ip.src==10.0.0.115 (查看并进一步分析黑客具体活动)
看到三个有200 OK回显的http数据包
点击显示分组字节 逐一打开查看 操作如下
在第三个数据包中看到可疑的数据
将数据显示形式改为原始数据
50 4b 03 04 这是zip文件的文件头格式 点击下方的save as 将这串数值以zip文件格式保存
保存之后 解压并打开
发现需要密码 再回头去数据包中寻找密码
追踪TCP流后 发现解压密码
密码是123@pass
成功找到flag
6.邮件涉密分析
题目描述:
打开数据包
因为是邮件传输 涉及到SMTP邮件传输协议 直接过滤smtp进行查看
追踪TCP流
发现了邮件发送时传输的文件 名称是p(1).pdf
发现发送者是3@3.3.134 接收者是3@1128.com
更改源ip发送者
将这些数据另存为eml格式的邮件文件
保存后打开
成功找到了泄密文件的内容
7.smtp_attachment
题目描述:
打开数据包
同样的 先过滤smtp
追踪TCP流
通过分析 确定是10.0.0.101将文件泄密给了10.0.0.106
筛选一下
保存为eml文件
保存后打开
里面有个压缩包 解压一下
成功得到key
8.online_game
题目描述:
打开数据包
大致看了一下 有ARP TCP等协议 结合题目需要找出网站的账号和密码
首先就想到了过滤http协议 但仅仅过滤http并不太够
要输入账号密码 就意味着有传参 传参有GET和POST
在网站上登录 要将账号和密码发送至网站服务器进行验证 所以是POST传参
过滤 http.request.method=="POST"
看到有一个login的数据包 追踪http流
在最末尾发现了登录的账号和密码
成功找到账号和密码
