CTF——MISC习题讲解（流量分析winshark系列~二）

CTF——MISC习题讲解（流量分析winshark系列）

前言

上一章节我们已经做完一场流量分析杂项题目，接下来继续给大家讲解流量分析系列。

一、misc4

打开题目后除了一个流分包还有一个txt文档

既然都这么告诉了，那就直接在统计里寻找一下这个特殊的PHP文件


然后直接在界面搜索一下这个文件看看
直接能得到flag，其实这个题也就是基础题，并不是太难，只要会统计这个功能几乎就可以的。
flag{FLAG-GehFMsqCeNvof5szVpB2Dmjx}

二、telnet

打开题目后发现还是有一个wishing文档，这样的文档一定得读一下

目前没有什么大的用处，那么我们就继续看看流量分析包，因为题目是telent，那指定和这个有关，直接筛查telent协议即可
然后直接右键追踪流看看
发现有flag字眼了已经

发现flag直接呈现了出来,但是正常的flag不会有中间那3个点
这个题的重难点就在于这3个点,其实这3个点叫做不可打印字符
那么接下来我们就应该考虑一下如何把这个处理一下,我们要把这个数据存为16进制的

发现这三个点对应的ASCII码是08
那么查看对应的ASCII表格可以看到08对应的是退格

所以28dxws…982kwalx8e
退格之后变成 28d982kwalx8e,这也就是最终的flag
flag{28d982kwalx8e}

三、蓝牙协议2

打开题目后观察如下
因为题目中已经告诉是蓝牙，所以点击 统计->协议分级
搜索后发现在这里有一个压缩包，感觉应该是一个突破点
直接导出压缩包进行查看
保存后发现，得用7z为结尾才可以，压缩包没有办法暴力破解解密，看文档中名字是
搜索一下pin看看有没有什么线索
试试这个密码看看是不是正确的
最终获取到flag{6da01c0a419b0b56ca8307fc9ab623eb}

四、USB-键盘流量

这个题因为题目告诉我们是USB-键盘流量分析
可以看到都是USB的，直接上脚本就可以，但是在上脚本之前要做些配置
先查看一下脚本
我们找到winshark文件所在的目录
给他设置一个全局变量

设置完后，开始运行脚本即可
flag{thisisgoodkeyboard}
代码脚本如下

-*- coding: cp936 -*

import os
os.system("tshark -r test.pcapng -T fields -e usb.capdata > usbdata.txt")
normalKeys = {
   "04":"a", "05":"b", "06":"c"