171111 杂项-数据包分析（1）

1625-5 王子昂 总结《2017年11月11日》 【连续第407天总结】
A. CTF中的数据包分析（1）
B.
所用题目有些参考http://metasploit.lofter.com/post/d9d60_89a1f47，来源于http://pan.baidu.com/s/1qW5T9TE，WireShark直接百度即可

0x00

网络通信传输的是数据包，而通过WireShark等工具可以记录下指定网卡或端口上经过的数据包。分析它们就可以获取到通信数据了。

0x01

最常见的题目直接搜索flag对应的字符串就能找到
Pwnium2014比赛中的题目，flag格式为Pwnium{xxxx}，于是直接搜索：

这个数据包是USB的传输数据，以URB协议来传输。

0x02

稍微复杂的题目对应协议就可以搞定
实验吧的“抓到你了”http://www.shiyanbar.com/ctf/1813

Hint：入侵者通过 ping 工具对局域网内一主机进行存活性扫描， flag 为入侵所 发送的 16 字节的数据包内容。

百度查找得知ping是以ICMP协议工作的，于是在过滤器（Filter）中输入ICMP

看到只有4个包，后三个相同长度，选中打开查看Data发现其中正好有Length为16的Data，复制提交即可

题外话：
这个数据包还有一些其他有意思的东西，作为学习来讲我们可以顺便分析一下
在过滤器中输入HTTP，就可以仅查看HTTP的数据包

例如这里，可以看到172.26.16.115（本机）访问了221.130.200.45（360zip_plugin.xml），发送了一个GET请求
然后服务器返回了200的状态码
跟踪TCP数据流可以看到更具体的上下文：

这里大概是360在更新插件吧

再往下翻翻，还有这里

访问了金山毒霸的服务器，从目录猜测可能是静态css？╮(╯_╰)╭
总之~数据包分析可以暴露很多有趣的东西哦~

0x03

再下一个题目是nebula模拟器的数据传输
打开看到是TCP数据流，直接右击选中follow TCP stream可以令WireShark将该包的TCP上下文都显示在一个新窗口中：

红蓝分别是两端发出的消息，可以看到红方在蓝方提示password后输入了”backdoor…00Rm8.ate“
“.”一般是非可见字符，可以在下方选择HEX DUMP来显示二进制数据

7f对应的是DEL（退格键），0d对应的是回车
因此最终得到的Password应该为”backd00Rmate”

有兴趣的同学可以抓抓自己的包，选择合适的过滤器后看看平常都是什么软件在发送什么信息呢~

C. 明日计划
CTF中的数据包分析（2）