引言:计算机只能识别二进制的数据,数据也是用二进制的方式存储在计算机中。要想实现多台计算机之间的通信,就要依赖一定的通信协议,如TCP/IP/HTTP等网络协议。为了区分每个协议,数据在传输过程中,会被用到的协议加上指定的格式。也可以理解为对数据的打包发送。
第一题:
难度:简单
用Wireshark打开此pcapng文件:
发现多数通信都是:192.168.228.1与192.168.228.135的交流。ok直接过滤掉非http:
其中一条下载记录中有:
直接复制,并按照要求更换格式,flag获取并成功提交。
第二题:
难度:一般
用Wireshark打开文件发现只有短短的记录,直接http过滤,找到下载文档的记录双击打开:
找到这样一条代表下载了一个压缩格式的flag文件的记录。
那么在这里,这个题就出现了两种解法:
1.找到与下载时间对应的记录,获取编码,并按照如图所示的操作进行字节划分:
key出来了
2.因为记录显示有压缩文件被下载,但是题目只给出了一个pcapng文件,那么有没有可能隐藏文件?所以放在binwalk里跑一下,果然:
隐藏了一个压缩包
解压一下隐藏的文件:
直接复制,并按照要求更换格式,flag获取并成功提交。
第三题:
难度:一般
题目提示:getshell,打开pcapng文件发现有超级多的数据包,那这个就是典型的数据包筛选题。
目的是getshell,是说明最后拿到了shell,所以我们从后往前找tcp连接建立成功的数据包。所以先只看tcp包,将时间设为逆序:
首先映入眼帘的就是这个4444->1040,右键追踪tcp流:
除了乱码还是乱码,无价值。
往下翻出现了1234->35880
右键追踪tcp流:
很短!而且很逗:出现了“shutdown”命令以及“stupid manager!”这样的小彩蛋。那么那个txt下,是一段base64加密的编码。
他来了
直接复制,并按照要求更换格式,flag获取并成功提交。
第四题:
难度:莫名其妙蒙对
首先这个包下载的时候就很怪:
这么大的包我第一次见!
这么大的包,里面包含的内容应该很多吧。。。。于是binwalk跑一下:
跑完我傻了,足足3大页文件
然后打开查看的时候,发现了一个文件:
flag!!!!!!!!
这个题就这么莫名其妙的被我解了。看了一下排行榜才580个正解的队伍,我甚至有点小骄傲。
至此,bugku中数据包分析的前四个题,8-bit战队已经全部解析完毕!
欲知后事如何,请听下周分解!