前言

DIDCTF中的2023盘古石杯的决赛中的流量分析题。

但是这个题平台好像放错地方了，放到了2024盘古石杯决赛中。

背景

公安机关通过对“张娟虚拟币投资被诈骗案”的诈骗团伙电子数据检材进行深入分析后，还摸排到了该诈骗团伙上游的跑分团队，通过办案部门的不懈努力，最后在跑分窝点抓获了跑分平台技术人员John、卡农Bob，扣押窝点NAS服务器1台、John计算机1台，Bob安卓手机1部，扫地机器人1台，无人机1台，智能门锁1把。同时，公安机关摸排到了本案中勒索黑客Hacker，抓取了Hacker计算机网络流量包，扣押了其计算机。

1、流量分析-1

计算流量包文件的SHA256值是？[答案格式：字母小写]

直接找个在线计算的就行了：2d689add281b477c82b18af8ab857ef5be6badf253db1c1923528dd73b3d61a9

2、流量分析-2

流量包长度在“640-1279”之间的数据包总共有多少？[答案格式：100]

过滤语法：frame.len>640 and frame.len<1279：

答案：179

3、流量分析-3

黑客使用的计算机操作系统是？[答案格式：windows7 x32]

点统计->捕获文件属性：

操作系统（按题目格式要求）：windows10 x64

4、流量分析-4

黑客上传文件到哪个网盘？[答案格式：xx网盘]

先对流量进行解密，题目给了ke.log：

编辑->首选项->Protocols->TLS，导入key.log：

解密后过滤HTTP的请求，翻到有一条网盘的流量：

追踪流进去看看：(tcp.stream eq 53)

Host字段清楚地看到：pan.baidu.com

答案：百度网盘

5、流量分析-5

黑客上传网盘的中间件是？[答案格式：xxxx]

随便找个上传网盘的流量，我这里是tcp.stream eq 51：

看到响应行中的Server字段：nginx

6、流量分析-6

黑客首次登陆网盘时间是？[答案格式：2000-01-01 01:00:33]

登录次数判断应该是这个：newlogin=1

时间：2023-05-11 12:03:52

7、流量分析-7

黑客上传到网盘的txt文件的md5值是？[答案格式：字母小写]

题目也算给了提示，过滤txt的流量：http contains "txt"：

一个个分析后定位到TCP流的70：

文件名是dic.txt，文件的md5值里面就有：ed5b9879ejf132941a450e37c669f3b8

8、流量分析-8

黑客上传到网盘的txt文件第8行的内容是？[答案格式：XXX]

还是TCP流的70：

……有点坑，HTTP协议请求头和请求体中间只需要空一行，而这里空了两行，说明请求体的第一行是空的，所以!是第2行，第8行：$$

9、流量分析-9

被入侵主机的计算机名是？[答案格式：XXXXXXXXXXX]

直接第一条流量：

计算机名：WIN-BFA1TO8PTNP

10、流量分析-10

被入侵电脑的数据回传端口是？[答案格式：11]

首先已经知道了被入侵计算机的IP是：192.168.100.139，然后过滤：

翻了一遍看到个可疑端口：8000

11、流量分析-11

流量包中ftp服务器的用户密码是？[答案格式：abcd]

还是上个题的语法：ip.addr == 192.168.100.139：

然后就翻到了途中这几条，明显是ftp的登录流量，追踪TCP流（90号）：

密码：ftp

12、流量分析-12

流量包中ftp服务器中的木马文件的md5值是？[答案格式：字母小写]

木马就是ftp上传的setup.exe，过滤出来：

刚开始以为是一个文件分为了好多个包传输，但是点进去发现每个包的内容都一样……那为什么要传这么多次？

随便找一个把数据导出来保存为exe：

计算其MD5：2a49a00a1f0b898074be95a5bbc436e3

13、流量分析-13

木马文件伪造的软件版本是？[答案格式：0.0.0.0]

查看setup.exe的属性：

版本：7.5.0.1039

14、流量分析-14

黑客上传到网盘的压缩包解压密码是？[答案格式：XXXXXXXXXXX]

直接过滤http contains ".rar"，得到几个流量包，一个个追踪流看看，在tcp流的70号找到了flag.rar：

但是题目要求的是找到它的密码，还是这个流量包，继续往下翻，找到了pass.jpg：

把这个图片导出来：

保存后还有多余的东西，要把它们删掉，jpg文件的开头是FFD8FFE0，结尾是FFD9：

然后打开图片：

八成又是隐写：

搞了半天真不知道是什么……

看了wp我又回来了。

stegseek用dic.txt爆破pass.jpg得到一串摩斯密码：

同样的方法导出dic.txt：

然后开始爆破：stegseek --crack pass.jpg dic.txt -xf output.txt

然后得到一串摩斯电码：

 解压密码：-..---.--..-.-. -.--..-..-.-..- -.--..-..-.-..- --.--.....-.-.. -..---.....--.- -..-.-.-...--..-
转文字->
今天天气不错

解压密码：今天天气不错

15、流量分析-15

黑客上传到网盘的压缩包内文件的内容是？[答案格式：xxxxxxx]

先导出flag.rar：

解压密码上个题已经拿到了：今天天气不错

直接解压得到：flag{dfaefdgegr$$%463}

16、流量分析-16

分析技术人员电脑内的手机流量包，给出技术人员的虚拟身份账号是？[答案格式：13039456655]

17、流量分析-17

分析技术人员电脑内的手机流量包，给出技术人员的虚拟身份密码是？[答案格式：b3039456655]

18、流量分析-18

分析技术人员电脑内的手机流量包，分析技术人员的看过几段短视频？[答案格式：3]

19、流量分析-19

分析技术人员电脑内的手机流量包，分析技术人员最后打开的软件的程序名称是？[答案格式：微信]

20、流量分析-20

分析技术人员电脑内的手机流量包，分析安全防护的服务器地址是？[答案格式：127.0.0.1]

后记

到这里DIDCTF里面的自己能做的题都已经做完了，一整个春节假期都在做这个，好多比赛之前都没有参加，在这个平台上有机会重新练习，感谢DIDCTF平台。