CTF之流量分析之密码文件

题目地址:BUUCTF在线评测

题目:

深夜里,Hack偷偷的潜入了某公司的内网,趁着深夜偷走了公司的秘密文件,公司的网络管理员通过通过监控工具成功的截取Hack入侵时数据流量,但是却无法分析出Hack到底偷走了什么机密文件,你能帮帮管理员分析出Hack到底偷走了什么机密文件吗? 注意:得到的 flag 请包上 flag{} 提交

CTF之流量分析之密码文件_第1张图片

解题:

1、下载附件,并使用wireshark打开

CTF之流量分析之密码文件_第2张图片

 2、统计-协议分级,发现存在FTP流量

CTF之流量分析之密码文件_第3张图片

 3、筛选ftp协议,并追踪TCP流量,发现下载的压缩包

CTF之流量分析之密码文件_第4张图片

4、ftp.request.command 查看请求的命令

可以看到用户名、密码以及下载的文件

CTF之流量分析之密码文件_第5张图片5、使用ftp-data过滤器查看来自FTP数据通道的流量(FTP分为两个通信通道,一个传输命令,一个传输数据)

但是没有流量

CTF之流量分析之密码文件_第6张图片

 6、如果有流量,就追踪TCP流,然后将默认数据保存格式为ASCII,需要修改为原始数据,选择另存为。就可导出压缩包。

 7、导出发现的rar压缩包

方法一:使用wireshark的导出对象功能

文件—导出对象—选择协议

CTF之流量分析之密码文件_第7张图片

好像不能导出ftp流量内的文件

CTF之流量分析之密码文件_第8张图片

只能导出http流量内的文件,选中想要保存的文件,点击save,即可保存成功,但是保存的文件中还有大量的流量数据包,需要手工删减。

CTF之流量分析之密码文件_第9张图片

 方法二:手动导出

见上文

方法三:使用文件还原分离工具binwalk分离文件

CTF之流量分析之密码文件_第10张图片

 方法四:使用文件还原分离工具foremost

foremost  文件名

-i       指定输入源文件

-t       指定提取的类型,指定什么类型就只会提取什么类型的文件

-o     指定输出文件夹

CTF之流量分析之密码文件_第11张图片

 8、没有在流量中找到相关密码线索,尝试爆破。

CTF之流量分析之密码文件_第12张图片

 9、解压后得到flag

CTF之流量分析之密码文件_第13张图片

 

 

 

你可能感兴趣的:(网络)