• Bugku流量分析题目总结


    flag被盗

    1-feeb13e6-2ae2-4d74-b864-cbbc6f985e87.png

    这个题目是比较基本的流量分析题,拿到数据包后,查看几个数据比较大的可疑数据,追踪TCP流即可拿到flag

    2-88ff8fc1-80b2-418c-b478-3c42b6796d53.png

    • flag:flag{This_is_a_f10g}

    中国菜刀

    3-6b1019d6-c936-4d59-a363-371f148833e6.png

    拿到数据包后,追踪一下TCP流,发现了一个flag.tar.gz的压缩文件。

    4-97612d3c-ba57-4811-a45e-ac979c0c8357.png

    把数据包放进kali里面用binwalk分析一下,发现确实存在这个压缩文件。然后使用binwalk将压缩包分离。

    5-810abde3-adcd-4211-a3fe-5dc802446e76.png

    然后解压压缩包,解压后发现一个flag.txt的文件,打开就可以拿到flag

    6-7faa8d81-5a0a-4da8-a2c4-5d7277f0fa2d.png

    • flag:key{8769fe393f2b998fa6a11afe2bfcd65e}

    这么多数据包

    7-192ca51a-287c-476c-9eb1-f31e55145ece.png

    根据提示是先找到getshell的流 ,那么不难联想到,在getshell后会执行一些命令,但是鉴于Windows和linux下命令不同,先查看目标主机的系统版本信息,仔细查看数据包后,发现是Windows系统。

    8-4560c7e2-2d32-4e61-9ed9-6d4e9fa94c4a.png

    • Windows下常用命令

      systeminfo
      whoami
      netstat -ano
      dir
      ...

    然后利用wireshark的显示过滤器查看数据包

    tcp contains "dir"
    

    发现在查找dir的时候有流量,应该是执行过dir命令,然后跟踪tcp流

    9-60feee40-2e44-493f-ac86-93eb8065dc5f.png

    然后发现了攻击者通过type命令新建了一个txt文件,并且文件的内容是一串base64加密过的字符串

    10-afc2d979-09a5-4fb7-a80c-2f65e0e51fea.png

    解密后拿到flag

    11-627cc010-dc61-48f8-98d7-9fca70b4ccf3.png

    • flag:CCTF{do_you_like_sniffer}

    手机热点

    12-f96c5c78-1a35-4225-9df6-e201c791b7ba.png

    拿到数据包之后对这个数据包的名字有点好奇,于是去搜了一下,发现这是一个丹麦国王的名字......

    13-ba65d81d-29c1-4fc4-b2b2-2fa7042253c1.png

    但是又联想到题目,手机热点传文件,于是推测使用蓝牙进行文件传输,蓝牙使用的是obex协议,通过wireshark过滤一下,查看数据包。发现上传了一个secret.rar文件,以及一张jpg图片文件 ,于是推测上传了一个压缩包和一张图片,或者是上传了一张压缩了的图片。

    14-b3d65673-8dda-4dd7-a9be-d95ecdfb2184.png

    然后将压缩文件导出

    15-0e2af8cb-70df-41d2-a48c-0567ebc7d4b7.png

    解压后发现一张图片,打开图片即可拿到flag

    16-6753a151-f0a0-4abb-803d-31f26bb1b5be.png

    • flag:SYC{this_is_bluetooth}

    抓到一只苍蝇

    Untitled-834ea3ae-9438-48a7-a905-9dcfb54960d4.png

    打开数据包后,追踪一下TCP流,发现存在一个fly.rar的压缩文件,大小为525701字节

    Untitled-db2bce62-4714-4c25-b9ad-098cfe83d1bd.png

    尝试使用binwalk分析并分离,结果得到了几个压缩包,使用winhex分析后并没有发现什么有价值的信息。

    Untitled-10180c46-e48c-4524-8bbd-bae229f6962c.png

    然后回到数据包继续进行分析,在wireshark的分组字节流中尝试搜索了一下flag,结果发现了一个flag.txt的文本文件,这个时候又联想到刚刚追踪TCP流的时候发现好像是有跟qq邮箱有关系的流量,分析内容可以推测在使用qq邮箱传文件,使用包过滤语句

    http.request.method==POST
    

    看到192.168.1.101向59.37.116.102发送了5个连续的文件包(按时间排序)

    Untitled-856f9ba9-ae9e-476a-b27b-595406edbd7a.png

    Untitled-117e3f4d-df5f-4942-8df7-09adcc8b5cee.png

    将这5个文件导出然后进行合并,由于TCP包有文件头,我们需要计算一下文件头的大小。

    这5个文件的大小分别为131436*4+1777,总大小为527571,但是刚才我们拿到数据包时看到的文件大小为525701,于是文件头的大小为527571-525701=1820,1820/5=364.

    Untitled-edcb8a1c-e19d-4281-a715-19174cddc317.png

    将文件导出后使用kali linux的dd命令将文件头去掉,以便进行合并。

    dd if=文件名  bs=1 skip=364 of=要保存的文件名
    

    Untitled-1edcaf4d-0130-4180-8987-28bf5b616e92.png

    然后将11 22 33 44 55这5个文件使用Windows下的copy命令进行合并。

    copy /B 11+22+33+44+55 fly.rar
    

    Untitled-ded39878-ebcd-484b-88b8-cedb7db15f8e.png

    合并得到的压缩包报错,用winhex查看得知是进行了伪加密,解密后将压缩文件解压,得到flag.txt文件。

    Untitled-300cde38-7ddb-4326-a815-977a91d02a5d.png

    Untitled-b8c68fbf-56b8-4d94-a73d-1141a9d3fcbc.png

    打开flag.txt文件时一堆乱码,但是在乱码中发现了Win32的标志,说明这是一个win32可执行程序,改后缀为exe,然后执行。执行后发现满屏幕的苍蝇......

    Untitled-8a5d2cd2-6c9c-4d3d-a4c5-727a5e908389.png

    使用winhex打开flag.exe发现了png字符,于是猜测里面还有其他的东西。使用foremost分离,得到了很多图片。

    Untitled-8a5d2cd2-6c9c-4d3d-a4c5-727a5e908389.png

    Untitled-a4e48531-a88f-4463-bf07-40269bc13365.png

    最后一张图片是一个二维码,扫描二维码拿到flag。

    Untitled-51b9a9a8-3d1d-4b38-befe-9fd7c00bf2e5.png

    Untitled-fc00fb62-f937-4618-8973-3267506debd6.png

    • flag:flag{m1Sc_oxO2_Fly}

    weblogic

    Untitled-6865880a-bdf4-4f37-ad14-129cd7af3cd4.png

    • 题目链接:https://ctf.bugku.com/files/d0efc1322758fceb5cab0bb66af860e0/weblogic.pcap

    • 解题思路:

      根据已知条件,flag为主机名,并且主机名为十六进制。直接在数据包中搜索hostname,发现了两个存在这个字符串的数据包,分别追踪TCP流,在数据流中搜索hostname,即可看到主机名。

      Untitled-86d1d1e8-d8e7-4811-b47f-326c3e352d33.png

      Untitled-08c87674-b147-46f1-8696-e0aca208eb0d.png

      • flag:flag{6ad4c5a09043}

    信息提取

    Untitled-f236a880-c7f0-47c2-a906-83ae888c8291.png

    打开数据包后,发现只有http和tcp的包,过滤一下http包,只显示http内容。
    Untitled-db54872c-32b0-4741-959d-f245de0ff5fb.png

    粗略的看一下,结合题目的提示“sqlmap用过吗”,可以看出这是一个布尔盲注的过程,从sql注入检测,猜解数据库,表名...

    一位一位的猜取flag,然后用二分法判断其ascii码的范围并最终确定这一位的值。

    如果语句正确会有回显,回显内容为:The quick brown fox jumps over the lazy dog

    Untitled-ba7beb85-7e3a-4aba-946f-8a09da6f6a0c.png

    以第一个字符为例,可以看到第一个字符判断的时候,先判断其是否大于64,后面又判断了是否大于96,说明这个字符肯定大于64,所以此时作比较的ascii码增加64的二分之一,即96,接着向下看,作比较的ascii码变成了80,说明这个字符小于96,所以大于64又小于96,继续向下分32的二分之一,即80,在接着向下看,作比较的ascii码变为了72,说明这个字符依然小于80,继续向下分16的二分之一,即72,继续向下看,作比较的ascii码变为了76,说明这个ascii码大于72,所以向上分8的二分之一,即76,继续向下看,作比较的ascii码变为了74,说明这个ascii码小于76,所以向下分4的二分之一,即74,继续向下看,作比较的ascii码变成了73,且下一个包变为了64,说明已经判断结束,因此大于72又不大于73,这个ascii码为73,对应的字符为I。这就是二分法。
    以此类推,可以获得flag。

    • flag:ISG{BLind_SQl_InJEcTi0N_DeTEcTEd}

    特殊后门

    Untitled-28ae1146-d5a3-43a5-8249-173aaad1afb9.png

    Untitled-3a862107-8dba-4404-80f8-cdee752bf68f.png

    • flag:flag{Icmp_backdoor_can_transfer-some_infomation}
  • 相关阅读:
    [研究笔记]SPFA加上SLF时判负环的条件
    hdu 1290
    hdu 2135
    hdu 1978 how many way
    华中区全国程序设计邀请赛1003
    华中区程序设计大赛1010
    华中程序设计邀请赛1007
    华中区全国设计邀请赛1009
    hdu 2114的补充
    华中区全国设计邀请赛1004
  • 原文地址:https://www.cnblogs.com/sn1per/p/11845841.html
Copyright © 2020-2023  润新知