CTF misc之流量分析題套路總結

1.前言

昨天去I春秋刷了幾題流量分析題，然后總結了一下流量分析題的做題方法。

2.刷題

2.1 可惡的黑客

步驟一、HTTP追蹤流先了解進行什么操作

可以看到是傳了webshell然后進行文件操作

套路1：一般是傳webshell然后菜刀連接，參數進行base64位加密，先解密參數，了解進行了什么操作

一步步解密請求參數了解進行什么操作

這個是傳webshell里的請求參數

這個是操作的文件

一路追蹤請求找到關鍵提示“hnt.txt”

于是搜索這個文件 http contains "hnt.txt"

找到上傳這個文件的請求

解密text里內容獲取到flag

2.2 password

同樣用wireshark打開數據包文件。直接找http協議

在post請求中找到一個jsfuck編碼

復制下來直接chrome瀏覽器F12 console中解密

獲得解密密碼

然后數據包里面再也沒找到有價值的東西

在secret.log中打開發現全是亂碼

于是用winhex打開，發現一串16進制的編碼

復制下來用16進制編輯器打開

發現是一個rar文件，保存成.rar后綴文件

發現是一個加密的rar文件，用之前獲取到的密碼解密

獲取到flag

輸入發現還是提示不對，發現把flag的l變成1了,矯正一下即可。

3.總結

套路先找http，分析請求內容，一般是base64位解密，然后大概能知道一個密碼或者一個壓縮文件，圖片什么的，下一步就是文件提取，一般用到winhex或者HXD 16進制編碼的工具。