Misc 流量分析 基础

admin 2022年9月19日00:44:14CTF专场评论13 views2100字阅读7分0秒阅读模式

开始咱们先说点流量分析常见的题目。

flag能直接找到

这部分题可能就难在谁有耐心吧,最简单的就是通过flag查找工具,直接找到flag,或者是通过常见编码后的flag

常见的有这几种

默认字符关键字

flag,666c6167,Zmxh,&#102,464C4147

默认正则关键字

flag{.+},666c6167w+,Zmxh[w=]+,&#102.+

其他关键字

key,ctf,f1ag,ffllaagg,f-l-a-g

flag二进制格式

1100110011011000110000101100111

正则编码类

key{.},ctf{.},f1ag{.*}

正则匹配中文

[u4E00-u9FA5]+

百里挑一正则

.[a-f1234567890]{17}}

ip正则

d+.d+.d+.d+

flag反写

{.*}galf

安恒

dasctf

cyberpeace{.*}

还有一些流量包东西很杂,一条条翻太慢了,可以在跑一下string,就一目了然

还有一些就是flag分段的,可能每个字母都在不同的包中,也可能分成了几段。

这一块中,比较难的就是编码不常见的,那玩意看见了都不一定能猜到那是flag,更何况他再藏得深一点,像第二届网刃杯的

ncsubj、xyp07和cryptolalia

这个xyp07很奇妙,拿科莱一跑就出来了。

cryptolalia非对称加密,这个看出来需要一定的经验。

能从流量包中提取出文件的

这一块大部分都能通过导出文件这一操作来实现,当然有些时候用binwalk或者是formost分离出来,如果这个文件是在流量包中的,那么这两个工具提取可能没有那么顺利,比如说一个图片可能能提出来,但是损坏了,这样很影响后边的判断。但是如果是流量文件隐写了个文件,这俩工具还是挺好用的。

导出文件操作呢,不熟悉wireshark的可能不会

具体就是

左上角文件—>导出对象

Misc 流量分析 基础

还有一种是流量包中存在被base64编码过的文件

经典的菜刀666,之前也有写过,在这里

SQL盲注流量

这一块在日志分析,流量分析中都会涉及,考到了也不难,就是那一种题型

之前也在这里写过

之前没有提供脚本,这边给大家一个,但是需要根据具体题目自己改一改

  1. #GET /index.php?act=news&id=1%20and%20ascii(substr(((select%20concat_ws(char(94),%20flag)%20%20from%20db_flag.tb_flag%20%20limit%200,1)),%2038,%201))>125

  2. import re

  3. a = []

  4. with open ("sqltest.pcapng","rb") as f:#读取pcap文件

  5. for i in f.readlines():

  6. if (b"id=1%20and%20ascii(substr(((select%20concat_ws(char(94),%20flag)%20%20from%20db_flag.tb_flag%20%20limit%200,1))," in i):

  7. #print(i)

  8. a.append(i)#把这些东西搞到a数组里

  9. a1 = {}

  10. for i in a:

  11. #print(i)

  12. b = re.search(br"%200,1)),%20(d+),%201))",i).group(1)

  13. c = re.search(br">(d+) HTTP/1.1",i).group(1)

  14. #print(b)

  15. #print(c)

  16. a1[int(b)] = int(c)

  17. #从a开始调出来

  18. #print(a1)

  19. flag =''

  20. for i in range (1,39):

  21. flag+=(chr(a1[i]))


  22. print(flag)

  23. #整成一行

USB流量分析

这一块常考的就是键鼠,都考烂了,应该不会难,2022国赛换汤不换出了一个,也是给我整懵逼了,这里边分了两块,一部分是能跑出个压缩包,另一部分是密码,刚开始没意识到,跑出来rar损坏,然后把队友思路都整偏了,都在修rar,我的错我的错。

比较难的,见过一个数位板这里写过

还可能会出现一些手柄,刻字机啥的。

然后推荐雪殇以及其他两位大佬共同写的一个工具,只能说tql

工具在这里

根据题目要求做题

这部分一定要认真读题,可能并不是找flag,一定要看清楚让你找啥,比如说一些工控题目,webshell比如这个

这部分里也有你从未接触过的知识,这样可以仔细看一下追踪流,找找有什么规律,比如2021国赛题目robot,之前也是写过

还有就是第二届网刃杯:喜欢移动的黑客、LED_BOOM

一定一定要认真读题,认真分析,认真找规律。

总结

流量分析大体思路

  1. 拿到后,先看一下题目题干,然后先find

  2. 如果没有找到,看一下是不是http,若果是先统计http请求看一下,或者是放到科莱里,总体看一下

  3. 导出对象,看一下

  4. 追踪流,挨个流看,如果很多,倒着看

  5. string跑一下

  6. 是不是usb,跑脚本

  7. 有没有隐写

  8. 有没有大串编码

  9. 从来没见过的协议,去百度

  10. 记得把文件放010editor里看一下

这部分还算是比较简单,算是基础吧,后期更新像那些WiFi,被加密过的流量


原文始发于微信公众号(SkyMirror 穹镜):Misc 流量分析 基础

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月19日00:44:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Misc 流量分析 基础 http://cn-sec.com/archives/1302828.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: