流量、日志分析

流量分析

知识点:

流量包分析简介 - CTF Wiki (ctf-wiki.org)

Wireshark 基本语法,基本使用方法,及包过虑规则_wireshark语法_竹痕的博客-CSDN博客

MISC:流量包取证(pcap文件修复、协议分析、数据提取)_流量数据文件提取_小哈里的博客-CSDN博客

[DDCTF2018]流量分析 

看了提示存在一个私钥

流量、日志分析_第1张图片

流量包中搜索KEY

tcp contains "KEY"

流量、日志分析_第2张图片
 有一串base64的图片数据,追踪流把它拿出来

流量、日志分析_第3张图片

Base64解码

流量、日志分析_第4张图片

ORC在线识别 

流量、日志分析_第5张图片 套上正确的SSL私钥格式

流量、日志分析_第6张图片

 在wireshark中TLS用该SSL私钥进行解密流量、日志分析_第7张图片

然后就可以查看http传输内容了

追踪一下HTTP流即可

发现flag

流量、日志分析_第8张图片

攻防世界-misc-流量分析1

wireshark打开,发现很多HTTP和TCP的包

流量、日志分析_第9张图片

 追踪流看看

流量、日志分析_第10张图片

请求包url解码看看 

流量、日志分析_第11张图片

GET /index.php?url=gopher://127.0.0.1:80/
_POST /admin.php HTTP/1.1
Host: localhost:80
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 78

id=1) and if((ascii(substr((select flag from flag),1,1))='45'),sleep(3),0) -- 

可以看到是一个ssrf和sql的时间注入

对flag读取第一个字符转换为ascii码,如果和45相等,就延时三秒,就是对数据库中的flag进行猜解

那我们过滤数据包的条件就在wireshark输入命令,http.time >=3

流量、日志分析_第12张图片

 一共14个包,依次对这14次请求的参数进行ASCII码还原,得到flag

flag{1qwy2781}

攻防世界-misc-流量分析

打开流量包,大概浏览了一下,发现找到了一些get语句

流量、日志分析_第13张图片

 拿出一句分析一下看看,可以发现是一个sql的注入查询,substring函数取字符串的特定位置,从1取到38。查看每个位置对应的ascii码,当ascii码正确时,取下个位置

id=1' and ascii(substring((select keyid from flag limit 0,1),1,1))=100#

流量、日志分析_第14张图片

用了下大佬的脚本

import re

with open("1.pcapng", "rb") as f: #打开名为"1.pcapng"的文件,使用二进制模式读取文件内容。
    contents = f.read()
    res = re.compile(r'0,1\),(\d+),1\)\)=(\d+)%23').findall(str(contents))  #使用正则表达式模式匹配文件内容,提取符合模式的数据。匹配到的结果以列表形式存储在变量res中。
    dic = {}    #创建一个空字典dic。
    for a, b in res:   #遍历匹配到的结果列表。
        if a in dic:      #检查字典dic中是否已存在键a。

            if int(b) > dic[a]:   #如果当前匹配到的值b(转换为整数类型)大于字典中键a对应的值,则执行以下操作。
                dic[a] = int(b)    #更新字典dic,将键a的值更新为当前匹配到的值b(转换为整数类型)。
        else:
            dic[a] = int(b)
    flag = ""
    for i in range(1,39):    #遍历范围为1到38的整数。
        flag += chr(dic[str(i)])   #将字典dic中键为字符串形式的当前整数i的值,转换为相应的字符,并添加到字符串flag中。
    print(flag)

 得到结果

 

 日志分析

知识点:

电子取证-Windows日志分析 | W4rnIn9 (joner11234.github.io)

日志分析_RuoLi_s的博客-CSDN博客

[陇剑杯 2021]简单日志分析(问1)

某应用程序被攻击,请分析日志后作答:
黑客攻击的参数是______。(如有字母请全部使用小写)

直接看日志文件,可以发现参数是user 

流量、日志分析_第15张图片

 

[陇剑杯 2021]简单日志分析(问2)

某应用程序被攻击,请分析日志后作答:
黑客查看的秘密文件的绝对路径是_____________。

流量、日志分析_第16张图片

base64解密里面传的语句即可得到

流量、日志分析_第17张图片

 [陇剑杯 2021]简单日志分析(问3)

某应用程序被攻击,请分析日志后作答:
黑客反弹shell的ip和端口是_____________。

和上一问一样,分析这些语句,解密后就知道 

流量、日志分析_第18张图片

[闽盾杯 2021]日志分析 

一个日志文件,解码后发现有sqlmap的日志 ,大概分析一下

判断其ascii码值的大小关系,判断正确返回的长度为675错误返回长度678这样我们就可以根据每一位的返回结果判断具体的ascii值通过搜索password分析

一直推下去 ,最后将ascii转换为字符即可

NSSCTF{ngjfdsUbdK}

流量、日志分析_第19张图片

你可能感兴趣的:(刷题笔记,作业,网络,经验分享,web安全,安全)