MISC學(xué)習(xí)比較雜,對(duì)于剛?cè)腴T的我只是做一些入門的MISC題,今天從流量分析題開始览芳。
第一題 簡(jiǎn)單的簽到題
題目地址:http://www.moctf.com/files/5a9a092aa80b2153d779baed8178f1d2/flag.pcapng
打開題后發(fā)現(xiàn)是很多協(xié)議齿桃,本能反應(yīng)是這些協(xié)議中telnet是主要關(guān)注的,所以過濾這個(gè)telnet協(xié)議设塔。
然后對(duì)telnet流量進(jìn)行分析凄吏,跟蹤TCP流發(fā)現(xiàn)flag。
第二題 flag被盜
題目地址:https://ctf.bugku.com/files/e0b57d15b3f8e6190e72987177da1ffd/key.pcapng
流量包中有很多協(xié)議,但看到http協(xié)議中有一個(gè)get請(qǐng)求中地址為shell.php痕钢,覺得應(yīng)該是在這個(gè)協(xié)議中图柏,并跟蹤這個(gè)HTTP流。
發(fā)現(xiàn)有flag任连。
第三題 中國(guó)菜刀
題目地址:https://ctf.bugku.com/files/047cefd48389dfc5bdc055d348bbf520/caidao.zip
因?yàn)橹袊?guó)菜刀主要是運(yùn)用http協(xié)議進(jìn)行訪問目標(biāo)網(wǎng)絡(luò)蚤吹,所以主要分析http協(xié)議,并跟蹤HTTP流随抠。
跟蹤中發(fā)現(xiàn)flag.tar.gz裁着。
在經(jīng)過對(duì)數(shù)據(jù)的分析中發(fā)現(xiàn)沒有在包中出現(xiàn)文件流量。然后想到是不是這個(gè)流量包中就包含flag呢拱她?運(yùn)用binwalk工具來分析一下二驰。發(fā)現(xiàn)key值。
第四題 這么多數(shù)據(jù)包
題目地址:https://ctf.bugku.com/files/425d97c3a1a2fa32dcead0ddd90467c0/CTF.pcapng.zip
打開流量包以后發(fā)現(xiàn)這個(gè)包的數(shù)據(jù)流特別多椭懊,應(yīng)該是138對(duì)159機(jī)器進(jìn)行掃描的數(shù)據(jù)名诸蚕,大概瀏覽一下發(fā)現(xiàn)有掃描3389,所以就跟蹤這個(gè)數(shù)據(jù)流氧猬,可以弄了半天什么也沒有背犯,然再向下看成發(fā)現(xiàn)有135端口,跟蹤一下這個(gè)數(shù)據(jù)流盅抚,發(fā)現(xiàn)流1735有執(zhí)行命令漠魏,根據(jù)題的提示是“找到getshell”,那說明這個(gè)一定是拿到shell了,并且在這個(gè)流中有type s4cr4t.txt這個(gè)文件妄均,并且有BASE64編碼柱锹,對(duì)這個(gè)編碼進(jìn)行解碼后得到flag。
總結(jié):
做流量分析題真的要細(xì)心丰包,要對(duì)wireshark和編碼有一定的了解才能很好的解出這個(gè)題禁熏。對(duì)TCP流的跟蹤功能真的是十分的好用,在解題的過程中要對(duì)此功能要多多利用邑彪。
