admin 管理员组

文章数量: 887021

我见过的流量分析类型的题目总结:

一,ping 报文信息  (icmp协议)

二,上传/下载文件(蓝牙obex,http,难:文件的分段上传/下载)

三,sql注入攻击

四,访问特定的加密解密网站(md5,base64)

五,后台扫描+弱密码爆破+菜刀

六,usb流量分析

七,WiFi无线密码破解

八,根据一组流量包了解黑客的具体行为

例题:

一,ping 报文信息  (icmp协议)

例1.1

打开流量包,发现有一大段的icmp协议的包,发现在icmp报文中夹杂着flag

这里可以依次查看每一个icmp报文数据,然后得到flag

也可以用脚本处理:(不推荐)

先过滤出 icmp协议的包》导出特定分组 》保存为flag.pcapng》然后用脚本处理:

(这个脚本只能处理data只有一个字节的包,局限性较大,还不如直接一个包一个包查看,反正flag也不会太长)

import  pyshark
cap = pyshark.FileCapture('flag.pcapng')
for packet in cap:
    data = ''+packet[packet.highest_layer].data
    print(chr(int(data,16)),end='')
cap.close()

 

二,上传/下载文件(蓝牙obex,http,难:文件的分段上传/下载)

这类夹杂着文件的流量包最好处理,

方法一,直接用foremost直接分离提取一下就能提取出其中隐藏的文件,一般会直接分离出来一个 压缩包,一张图片,或者flag.txt都是有可能的

方法二,

自动提取通过http传输的文件内容
文件->导出对象->HTTP


在打开的对象列表中找到有价值的文件,如压缩文件、文本文件、音频文件、图片等,点击Save进行保存,或者Save All保存所有对象再进入文件夹进行分析。

手动提取通过http传输的文件内容
选中http文件传输流量包,在分组详情中找到data,Line-based textJPEG File Interchange Formatdata:text/html层,鼠标右键点击 – 选中 导出分组字节流。

如果是菜刀下载文件的流量,需要删除分组字节流前开头和结尾的X@Y字符,否则下载的文件会出错。鼠标右键点击 – 选中 显示分组字节

在弹出的窗口中设置开始和结束的字节(原字节数开头加3,结尾减3)

最后点击Save as按钮导出。

例2.1手机热点(蓝牙传输协议obex,数据提取)

题目来源:第七季极客大挑战
考点:蓝牙传输协议obex,数据提取
题目信息:(Blatand_1.pcapng)

题中说用 没流浪 向电脑传了文件 那肯定是 用的蓝牙 蓝牙协议 为   obex协议

帅选出 obex 协议包 :发现 有一个包 里有一个 rar压缩包:

要分离出 这个 rar 包:

方法一:直接复制 数据块 然后复制到winhex中 转存为 rar 

复制数据块  as Hex stream   >   在winhex中粘贴 为 ASCII HEX  >   删除前面的 多余信息    > 保存为 rar

方法二 :用formost 分离:分离出来好多东西,不过我们目标是rar包

得到一张flag.git:

例2.2 抓到一只苍蝇

这题属于比较难的类型,是文件的分段传输,我们需要将几段数据拼接起来

首先在 分组字节流中 搜索一下 字符串 flag 找到第一个 包,追踪一下数据流 ,

然后就看到了上述信息,知道了应该是在用 qq邮箱传输文件,

文件的信息: fly.rar  文件的大小为 525701

{"path":"fly.rar","appid":"","size":525701,"md5":"e023afa4f6579db5becda8fe7861c2d3","sha":"ecccba7aea1d482684374b22e2e7abad2ba86749","sha3":""}

既然知道了在上传文件,肯定要用到 http的request的 POST方法

在过滤器中 输入

http && http.request.method==POST

然后找到这5个包,第一个包是 文件的信息,后面5个包为数据

分别查看其中 date 的长度:

前四个 为 131436 最后一个为 17777

所以 131436*4 +17777=527571  与第一个包给出的 fly.rar的长度 525701 差 1820

因为每个包都包含头信息,1820/5 = 364

所以每个包的头信息为 364

接下来导出数据包:

wireshark->文件->导出对象->http->选择save对象

将对应的包 分别save 为 1 2 3 4 5

将这五个包拖进 kali中 

执行:

dd if=1 bs=1 skip=364 of=11

dd if=2 bs=1 skip=364 of=22

dd if=3 bs=1 skip=364 of=33

dd if=4 bs=1 skip=364 of=44

dd if=5 bs=1 skip=364 of=55

将数据包的头部的 364个字节去除  得到 11 22 33 44 55

将这五个包合并

cat 11 22 33  44 55 > fly.rar

查看一下 flag.rar的md5值是否正确

md5sum fly.rar

正确

解压,跳出提示文件头损坏,并且要求输入密码

知道是伪密码,用winhex打开,修改文件头,将 84 改为 80,保存

解压得到,flag.txt 打开一堆乱码,直接用 foremost分离一下&#x

本文标签: 题型 流量 CTF

版权声明:本文标题:CTF——流量分析题型整理总结 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1729142286h1323094.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。