渗透测试CTF-流量分析

大家可以关注一下我的微信公众号-小白渗透测试

工具：wireshark

我们这里以三道CTF题目为例，开始讲解。

题目一

下载流量包，打开wireshark

流量包为多个带range头部发送的http报文，所以都是部分回显，把所有的部分回显按照时间顺序拼接即可

 

分别打开这几个文件，拼接里面的内容就是最终的flag ，结果为flag{17uaji1l}

题目二 

下载压缩包解压后发现为流量包，打开分析

 tcp 连接，再是 FTP 传输，应该是一个在传输某些文档的流量包，推测 flag 应该 和传输的文档有关。

搜索flag，未发现什么

 

搜索ftp-data。可以看到传输数据。

 

右键，追踪流-tcp流，可以看到ftp上列出的文件。

 

搜索 key，发现内容

  

发现 public key，将其保存为 pub.key

  

使用 foremost 分离文件，发现一个 txt 文件，好像是被加密了

 

用 openssl 解密

命令：openssl rsautl -decrypt -in key.txt -inkey key.key  -out flag.txt -in 为要解密的加密文档 -inkey 为密钥 -out 为输出文档

 

 题目三

下载附件，解压后是个流量包，直接 Wireshark 打开，查找 flag 无果

kali使用strings 即查找 webshell 中的带有“{”的 ASCII 字符串

 代码

strings webshell.pcapng | grep { strings /root/桌面/webshell.pcapng | grep {

发现 flag fl4g:{ftop_Is_Waiting_4_y}

或者

wireshare打开

输入“http contains “shell””过滤