Bugkuctf ——流量分析 write up（持续更新中）

流量包分析
CTF 比赛中, 流量包的取证分析是另一项重要的考察方向，有时候电子取证也会涉及到这方面的知识。
通常比赛中会提供一个包含流量数据的 PCAP 文件，有时候也会需要选手们先进行修复或重构传输文件后，再进行分析。
PCAP 这一块作为重点考察方向，复杂的地方在于数据包里充满着大量无关的流量信息，因此如何分类和过滤数据是参赛者需要完成的工作。
铁人三项的话是查找ip 服务器 还原入侵过程。

CTF中的数据分析主要侧重于查找flag

1. 过滤赛选
   过滤语法
   Host，Protocol，contains（http.request.mothod contain " 关键字"）

2. 数据提取
   字符串取
   文件提取（分出单个流量包来可以查找）

3. 协议字段
   

bugkuctf 分析部分write up
1.flag被盗
根据提示，赶紧溯源。
才想到服务器入侵，然后用wireshark 打开数据包 直接过滤http协议

啊
然后追踪TCP流就可以看到flag了。

2.中国菜刀

打开 过滤http 追踪tcp流得到

123 那串字符解码得到@ini_set(“display_errors”,“0”);@set_time_limit(0);if(PHP_VERSION<‘5.3.0’){@set_magic_quotes_runtime(0);};echo(“X@Y”);$F="C:\wwwroot\

flag.tar.gz

";$fp=@fopen($F,‘r’);if(@fgetc(KaTeX parse error: Expected '}', got 'EOF' at end of input: fp)){@fclose(fp);@readfile($F);}else{echo(‘ERROR:// Can Not Read’);};echo(“X@Y”);die();

发现flag.tar.gz 这是linux 里面的压缩包

然后查找下一个http包 右键查找分组字节流 然后去掉前后的 x@y
去掉方法是

然后就发现flag了。

3.这么多数据包
压缩包里面有两个流量包，注意查看。
一打开的时候，我也是懵的。
后面才注意到提示，先找到getshell 的流，先过滤关键字 getshell看看
。
一开始可以基本看 udp 底层传输协议，arp 网卡的， tcp 等等。
追踪arp 没有任何收获，然后追踪tcp流。也没收货。后面重新打开数据包 第十个数据包就发现

ping的发出和回复。
联想到getshell流 ping 的发出者是 攻击机，回复者是 被害机。
所以过滤这两个ip的数据包。

语法规则ip.addr==192.168.116.138 && ip.dst==192.168.116.159

149个包 找到通过3389端口渗透
大概四千多个包的时候 渗透成功了。

5542包开始追踪 TCP流得到
解码文本内容就可以得到flag。

4.手机热点

随便点开一个数据包发现是利用蓝牙共享局域网。大致看了一下数据包 和平常我们看到的wireshark数据包不一样的传输协议，想到以前做过的隐写题，看看数据包 里面会不会包含着什么东西，kali 启动

binwalk使用方法
https://www.cnblogs.com/blacksunny/p/7214522.html

binwalk - e "文件名"

然后得到图片
flag.gif.
点开就是flag。