CTF-流量分析

目录

1、sqltest

2、[DDCTF2018]流量分析

3、大流量分析（一）

4、大流量分析（二）

5、大流量分析（三）

---

1、sqltest

查看流量包很明显sql盲注,导出http对象：

爆flag肯定是最长的那个，找到爆破位数的最后一次就是正确的flag的值：

102 108 97 103 123 52 55 101 100 98 56 51 48 48 101 100 53 102 57 98 50 56 102 99 53 52 98 48 100 48 57 101 99 100 101 102 55 125转换一下就行了。

2、[DDCTF2018]流量分析

看到数据包文件有FTP、SMTP、TCP、TSL等协议，不出意外是要找到私钥KEY去解密TSL/SSL了。可能泄露KEY的就是FTP：DATA和SMTP了。

QUIT是SMTP每次会话的退出命令 ，过滤器：

smtp contains QUIT

下面一个一个的去看，在最后一个发现图片的base： 

 解密：

然后填上私钥格式保存为保存为private.key：

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

 在wireshark点击 编辑 -> 首选项 -> TLS或者SSL -> Edit -> +号，找到刚刚的私钥文件导入，然后就会出现隐藏的http：

3、大流量分析（一）

随便分析一个流量包：

数据采集H_eth0_NS_20160809_172819.pcap

统计IP:统计-->lPv4 Statistics-->All Addresses:

 统计-会话：统计-->会话

 

 统计--端点：统计-->端点：

 所以黑客ip就很明显了。

4、大流量分析（二）

电子邮件在发送和接收的过程中还要遵循一些基本协议和标准，这些协议主要有SMTP、POP3、IMAP、MIME等。在流量包里面一个一个的过滤，最后在这个流量包发现：

数据采集D_eth0_NS_20160809_164452.pcap

很明显的一个邮箱地址： 

 追踪TCP流发现邮件内容：  

解码的确是钓鱼邮件： 

 发件人：

5、大流量分析（三）

流量包：

数据采集H_eth0_NS_20160809_172819.pcap

 过滤ip和http协议含有assert或者phpinfo： 

ip.src==183.129.152.140 && http contains assert

发现可疑文件： 

 追踪http流，实现任意代码执行的确是后门：