开始咱们先说点流量分析常见的题目。

flag能直接找到

这部分题可能就难在谁有耐心吧，最简单的就是通过flag查找工具，直接找到flag，或者是通过常见编码后的flag

常见的有这几种

默认字符关键字

flag,666c6167,Zmxh,&#102,464C4147

默认正则关键字

flag{.+},666c6167w+,Zmxh[w=]+,&#102.+

其他关键字

key,ctf,f1ag,ffllaagg,f-l-a-g

flag二进制格式

1100110011011000110000101100111

正则编码类

key{.},ctf{.},f1ag{.*}

正则匹配中文

[u4E00-u9FA5]+

百里挑一正则

.[a-f1234567890]{17}}

ip正则

d+.d+.d+.d+

flag反写

{.*}galf

安恒

dasctf

cyberpeace{.*}

还有一些流量包东西很杂，一条条翻太慢了，可以在跑一下string，就一目了然

还有一些就是flag分段的，可能每个字母都在不同的包中，也可能分成了几段。

这一块中，比较难的就是编码不常见的，那玩意看见了都不一定能猜到那是flag，更何况他再藏得深一点，像第二届网刃杯的

ncsubj、xyp07和cryptolalia

这个xyp07很奇妙，拿科莱一跑就出来了。

cryptolalia非对称加密，这个看出来需要一定的经验。

能从流量包中提取出文件的

这一块大部分都能通过导出文件这一操作来实现，当然有些时候用binwalk或者是formost分离出来，如果这个文件是在流量包中的，那么这两个工具提取可能没有那么顺利，比如说一个图片可能能提出来，但是损坏了，这样很影响后边的判断。但是如果是流量文件隐写了个文件，这俩工具还是挺好用的。

导出文件操作呢，不熟悉wireshark的可能不会

具体就是

左上角文件—>导出对象

还有一种是流量包中存在被base64编码过的文件

经典的菜刀666，之前也有写过，在这里

SQL盲注流量

这一块在日志分析，流量分析中都会涉及，考到了也不难，就是那一种题型

之前也在这里写过

之前没有提供脚本，这边给大家一个，但是需要根据具体题目自己改一改

#GET /index.php?act=news&id=1%20and%20ascii(substr(((select%20concat_ws(char(94),%20flag)%20%20from%20db_flag.tb_flag%20%20limit%200,1)),%2038,%201))>125
import re
a = []
with open ("sqltest.pcapng","rb") as f:#读取pcap文件
    for i in f.readlines():
        if (b"id=1%20and%20ascii(substr(((select%20concat_ws(char(94),%20flag)%20%20from%20db_flag.tb_flag%20%20limit%200,1))," in i):
            #print(i)
            a.append(i)#把这些东西搞到a数组里
a1 = {}
for i in a:
    #print(i)
    b = re.search(br"%200,1)),%20(d+),%201))",i).group(1)
    c = re.search(br">(d+) HTTP/1.1",i).group(1)
    #print(b)
    #print(c)
    a1[int(b)] = int(c)
#从a开始调出来
#print(a1)
flag =''
for i in range (1,39):
    flag+=(chr(a1[i]))

print(flag)
#整成一行

USB流量分析

这一块常考的就是键鼠，都考烂了，应该不会难，2022国赛换汤不换出了一个，也是给我整懵逼了，这里边分了两块，一部分是能跑出个压缩包，另一部分是密码，刚开始没意识到，跑出来rar损坏，然后把队友思路都整偏了，都在修rar，我的错我的错。

比较难的，见过一个数位板这里写过

还可能会出现一些手柄，刻字机啥的。

然后推荐雪殇以及其他两位大佬共同写的一个工具，只能说tql

工具在这里

根据题目要求做题

这部分一定要认真读题，可能并不是找flag，一定要看清楚让你找啥，比如说一些工控题目，webshell比如这个

这部分里也有你从未接触过的知识，这样可以仔细看一下追踪流，找找有什么规律，比如2021国赛题目robot，之前也是写过

还有就是第二届网刃杯：喜欢移动的黑客、LED_BOOM

一定一定要认真读题，认真分析，认真找规律。

总结

流量分析大体思路

1. 拿到后，先看一下题目题干，然后先find

2. 如果没有找到，看一下是不是http，若果是先统计http请求看一下，或者是放到科莱里，总体看一下

3. 导出对象，看一下

4. 追踪流，挨个流看，如果很多，倒着看

5. string跑一下

6. 是不是usb，跑脚本

7. 有没有隐写

8. 有没有大串编码

9. 从来没见过的协议，去百度

10. 记得把文件放010editor里看一下

这部分还算是比较简单，算是基础吧，后期更新像那些WiFi，被加密过的流量

原文始发于微信公众号（SkyMirror 穹镜）：Misc 流量分析 基础