ctf之流量分析学习

链接：https://pan.baidu.com/s/1e3ZcfioIOmebbUs-xGRnUA?pwd=9jmc 
提取码：9jmc

前几道比较简单，是经常见、常考到的类型

1.pcap——zip里

流量分析里有压缩包

查字符串或者正则表达式，在包的最底层找到flag的相关内容

我们追踪流

3种保存方法

1.直接用ascii保存，并命名为1.zip

2.如果损坏，那就选择原始数据，保存为1.txt，打开010编辑器，新建文件，导入16进制文件

现在的电脑都和智能，保存后，直接修改为zip也可以，就不用下面的导入了

然后把1.txt拖进来

保存，然后改名为zip文件

3.foremost或者binwalk分离

binwalk

直接分离1.pcap包，里面就有压缩包

我window自配的foremost

这个是kali自带的

flag是个图片

---

2.pcap——php文件里（1）

这一题讲的是第二个方法——导出对象

ctrl+f找flag找不到

导出对象

发现好多图片，我们先找找有没有php的文件

可以简单筛选

找到flag

方法2

先把导出的目录放进去

利用linux的strings，这样，如果多个目录，太多文件，也能快速找到

strings $(find . | xargs) |grep flag -i

---

3.pcap——php文件里（2）

ctrl+f找flag找不到

导出对象

找到一个base64的编码，好奇，是啥，看看

得到

base64加密了，怪不得找不到

---

john-in-the-middle——图片_隐写

这一题开始提供新思路，图片隐写

我们依然正常查找，先ctrl+f，找不到

导出，看php，没有php，到这里，你可以去试试linux的strings查找flag

也可以去分析一波，tcp和http还有ftp这流量都是传东西用的，平常问什么黑客怎么怎么了，需要你去流里面仔细观察，这一题没有，很平平淡的传输，没有什么攻击内容。所以没必要分析

我们直攻主题，flag是这个图片，因为flag就是棋子的意思

png有高度隐写、zip隐藏、lsb隐写、exiftool、steghind等等

都试试，发现是lsb隐写

这次不把flag导出来，直接抄下来

TTL.pcapng——ttl隐写

imcp的ping最常见的隐写就是ttl转ascii

tshark查看，wireshark自带的，相当于wireshark的命令行版本

打开后输入,在命令行里写

tshark.exe -r D:\桌面\大纲\流量分析\TTL.pcap -T fields -e ip.ttl

处理一下，用什么都行，很智能的

去掉0

---

SQL盲注.pacp

直接ctrl+f查找flag，可以看出，这是一共sql注入的包（我按info排序了）

那我们就需要观察请求头去找到flag了，导出象看着方便

直接倒着看

一个一个找吧

---

溯源分析——冰蝎（难度开始提升）

ctrl+f有回显

追踪留发现一些类似base64，解出来是乱码的

导出对象，进行筛选

大致浏览，可以看见upload的字样，说明这是文件上传的流量包

很可能就是冰蝎或者哥斯拉，因为base64解不出来嘛，看你是AES加密，需要密钥和位移（iv）我们先大致浏览php文件，发现大多是404报错，只有config*.php文件可疑，也是刚才我们解密的base64，我们假设是冰蝎，找密钥和iv，找不到，猜测是默认的，安装冰蝎的时候，又写好的默认脚本

shell.php里又默认密码：e45e329feb5d925b

默认iv可以用：0123456789abcdef代替，我也不知道为什么，老师说的

我们去解密

得出

base64解密

得出flag所需要的路径

随波逐流离线解密工具，也可以，注意明文和密文的位置

---

陇剑杯——ez_web_01-03

https://5ime.cn/longjiancup-2023.html

SmallSword

连接蚁剑的正确密码是______________?（答案示例：123asd）

攻击者留存的值是______________?(答案示例：d1c3f0d3-68bb-4d85-a337-fb97cf99ee2e)

攻击者下载到的flag是______________?(答案示例：flag3{uuid})

浏览整个分析包，我们直接导出文件好吧！！

找php文件，可以ctrl+shift+f找关键字，搜索什么system、eval等等。没找到

我们发现这类包（不要404的，找有回应的）

6ea280898e404bfabd0ebb702327b19f=%40ini_set(%22display_errors%22%2C%20%220%22)%3B%40set_time_limit(0)%3Becho%20%22-%3E%7C%22%3B%24D%3Ddirname(%24_SERVER%5B%22SCRIPT_FILENAME%22%5D)%3Bif(%24D%3D%3D%22%22)%24D%3Ddirname(%24_SERVER%5B%22PATH_TRANSLATED%22%5D)%3B%24R%3D%22%7B%24D%7D%09%22%3Bif(substr(%24D%2C0%2C1)!%3D%22%2F%22)%7Bforeach(range(%22A%22%2C%22Z%22)as%20%24L)if(is_dir(%22%7B%24L%7D%3A%22))%24R.%3D%22%7B%24L%7D%3A%22%3B%7Delse%7B%24R.%3D%22%2F%22%3B%7D%24R.%3D%22%09%22%3B%24u%3D(function_exists(%22posix_getegid%22))%3F%40posix_getpwuid(%40posix_geteuid())%3A%22%22%3B%24s%3D(%24u)%3F%24u%5B%22name%22%5D%3A%40get_current_user()%3B%24R.%3Dphp_uname()%3B%24R.%3D%22%09%7B%24s%7D%22%3Becho%20%24R%3B%3Becho%20%22%7C%3C-%22%3Bdie()%3B

可以看出6ea280898e404bfabd0ebb702327b19f可能是第一题的答案，就是传参的值，当然也有可能16进制加密了，我解密了，解不出来

第一题flag就是：

连接蚁剑的正确密码是6ea280898e404bfabd0ebb702327b19f

既然找到木马文件了，继续往下找就是

发现这个文件，大小特别异常，很大，根据上一条发包信息，他可能是一个exe文件

我们修改，删除多余的字符（删除前后的->|MZ，后面好像没有），保存运行

不行，用010修改试试，删

还不行，试试binwalk或者foremost，好像不行~~

重新导出对象，然后010再删除一遍就好了

老六，保存到上一级目录了，放文件夹里，才会显示到桌面上

这个图片是宽高隐藏，大致解密

改成0f01就行

也可以看出这是png图片的头

提取完懒得试了

flag3{8fOdffac-5801-44a9-bd49-e66192ce4f57}

0啊o啊什么的，自己试试吧

攻击者下载到的flag是______________?(答案示例：flag3{uuid})

继续往下看

这个里面发现两个不一样的base64，解密后刚好是答案

攻击者留存的值是___ad6269b7-3ce2-4ae8-b97f-f259515e7a91___?(答案示例：d1c3f0d3-68bb-4d85-a337-fb97cf99ee2e)

ez_web

服务器自带的后门文件名是什么？（含文件后缀）

服务器的内网IP是多少？

攻击者往服务器中写入的key是什么？

废话不多说好吧，直接开导

筛选出php文件

很快找到类似的木马文件

发现第二个有个ifconfig

直接看回包，然后里面的ip一个一个试

服务器的内网IP是多少？————192.168.101.132

15包似乎是1个密码

7e03864b0db7e6f9

第19个是压缩包

另存为，发现解压要密码，最后得到flag

攻击者往服务器中写入的key是什么？————7d9ddff2-2d67-4eba-9e48-b91c26c42337

可以再wireshark里另存为，以防压缩包损坏

怎么快速定位呢，我们截取第19个php的部分内容，然后就搜索到了

服务器自带的后门文件名是什么？（含文件后缀）

这个怎么找呢，试了d00r.php，不行

这个文件试写入进去的，那一定有写进去的一个文件我们直接搜d00r.php

答案就是这个文件名字ViewMore.php