wireshark 模糊搜索_右键


引言:计算机只能识别二进制的数据,数据也是用二进制的方式存储在计算机中。要想实现多台计算机之间的通信,就要依赖一定的通信协议,如TCP/IP/HTTP等网络协议。为了区分每个协议,数据在传输过程中,会被用到的协议加上指定的格式。也可以理解为对数据的打包发送。


第一题:


wireshark 模糊搜索_右键_02

难度:简单


用Wireshark打开此pcapng文件:


wireshark 模糊搜索_extjs曲线数据如何从后端获取_03


发现多数通信都是:192.168.228.1与192.168.228.135的交流。ok直接过滤掉非http:


wireshark 模糊搜索_extjs曲线数据如何从后端获取_04


其中一条下载记录中有:


wireshark 模糊搜索_wireshark 模糊搜索_05


直接复制,并按照要求更换格式,flag获取并成功提交。


第二题:


wireshark 模糊搜索_数据_06

难度:一般

用Wireshark打开文件发现只有短短的记录,直接http过滤,找到下载文档的记录双击打开:


wireshark 模糊搜索_Wireshark_07


找到这样一条代表下载了一个压缩格式的flag文件的记录。

那么在这里,这个题就出现了两种解法

1.找到与下载时间对应的记录,获取编码,并按照如图所示的操作进行字节划分:


wireshark 模糊搜索_wireshark 模糊搜索_08

key出来了

2.因为记录显示有压缩文件被下载,但是题目只给出了一个pcapng文件,那么有没有可能隐藏文件?所以放在binwalk里跑一下,果然:


wireshark 模糊搜索_右键_09

隐藏了一个压缩包

解压一下隐藏的文件:


wireshark 模糊搜索_右键_10


直接复制,并按照要求更换格式,flag获取并成功提交。


第三题:


wireshark 模糊搜索_extjs曲线数据如何从后端获取_11

难度:一般

题目提示:getshell,打开pcapng文件发现有超级多的数据包,那这个就是典型的数据包筛选题。

目的是getshell,是说明最后拿到了shell,所以我们从后往前找tcp连接建立成功的数据包。所以先只看tcp包,将时间设为逆序:


wireshark 模糊搜索_wireshark 模糊搜索_12


首先映入眼帘的就是这个4444->1040,右键追踪tcp流:


wireshark 模糊搜索_数据_13


除了乱码还是乱码,无价值。

往下翻出现了1234->35880


wireshark 模糊搜索_extjs曲线数据如何从后端获取_14


右键追踪tcp流:


wireshark 模糊搜索_Wireshark_15


很短!而且很逗:出现了“shutdown”命令以及“stupid manager!”这样的小彩蛋。那么那个txt下,是一段base64加密的编码。


wireshark 模糊搜索_extjs曲线数据如何从后端获取_16

他来了

直接复制,并按照要求更换格式,flag获取并成功提交。


第四题:


wireshark 模糊搜索_数据_17

难度:莫名其妙蒙对

首先这个包下载的时候就很怪:


wireshark 模糊搜索_wireshark 模糊搜索_18

这么大的包我第一次见!

这么大的包,里面包含的内容应该很多吧。。。。于是binwalk跑一下:


wireshark 模糊搜索_extjs曲线数据如何从后端获取_19


跑完我傻了,足足3大页文件

然后打开查看的时候,发现了一个文件:


wireshark 模糊搜索_extjs曲线数据如何从后端获取_20

flag!!!!!!!!

这个题就这么莫名其妙的被我解了。看了一下排行榜才580个正解的队伍,我甚至有点小骄傲。


至此,bugku中数据包分析的前四个题,8-bit战队已经全部解析完毕!


wireshark 模糊搜索_extjs曲线数据如何从后端获取_21


欲知后事如何,请听下周分解!


wireshark 模糊搜索_数据_22