2021-09-10 网安实验-XCTF真题实战之流量分析

最新推荐文章于 2025-07-09 15:39:22 发布
最新推荐文章于 2025-07-09 15:39:22 发布
阅读量4.2w 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 愚公系列-网络安全实验 文章标签: r语言 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aa2528877987/article/details/120216683
本文详细介绍了XCTF比赛中流量分析和DES解密的实战过程。通过Wireshark抓包分析找到RAR文件,解压后获取关键信息。接着,通过对比文件大小发现附加数据,并使用C32Asm提取,用DES解密脚本得到解密后的信息。PDF文件分析部分,通过转换为TXT发现隐藏字符串,经Base64解码获得Flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

通信流量分析

使用Wireshark打开HEHEHE.pcap文件。对于通信流量分析类题目,常用的一个解法就是使用过滤器tcp contains ".rar"来查看数据包中是否包含有rar文件,实际操作时rar可以换成zip等其他扩展名。

现在在Wireshark的Filter编辑框中输入过滤器tcp contains “.rar”,果然发了这样的通信记录,选中第一条结果,单击右键选择“Follow TCP Stream”,可以看到数据包里存在一个rar文件,这里将其Dump出来(在窗口中选择Raw,然后点击SaveAs按钮即可),如下图所示:
在这里插入图片描述
对保存的Rar文件进行解压,得到两个文件,分别为:2013-2014关于评选先进班集体的通知.doc、福利.jpg。从doc文件中似乎看不到什么有用的信息,从jpg文件中可以看到一个Key,为XPA087T24433PASS。

DES解密

通过对《2013-2014关于评选先进班集体的通知.doc》文件的分析,发现doc文件末尾附加了一段数据,那这一段数据是如何发现的呢?我们可以新建一个doc文件,然后将原始doc文件中的数据复制粘贴到新建的doc文件中,保存后对比两个文件的大小发现是不一样的,所以可以猜测原始doc文件中附加了额外的数据。

经过分析,附加数据是从doc文件偏移0x16C00处开始的,通过使用C32Asm将末尾的附加数据提取出来。打开桌面的

了解本专栏 订阅专栏 解锁全文 超级会员免费看
2021-09-10 实验-XCTF真题实战之密码学
时光隧道
09-10 4万+
ROT13解码以及MD5反查 Misc200这个题给定的信息为“57R9S980RNOS49973S757PQO9S80Q36P 听说丘比龙一口气能吃"13"个甜甜圈呢!”, 57R9S980RNOS49973S757PQO9S80Q36P的长度为32,可能是一个MD5值,尝试在 http://www.somd5.com/中进行反查,发现找不到结果。 从题目所给的数字13猜测这个字符串经过了ROT13变换,因此对其进行ROT13解码。打开cmd,执行python命令,然后执行如下Python语句"57R9S
2021-09-10 实验-XCTF真题实战之逆向分析
热门推荐
时光隧道
09-10 4万+
知识点 一、图片搜索 使用 https://images.google.com/ 或者 http://shitu.baidu.com/ 等站,可以上传一张图片进行搜索,搜索结果中展示是上传图片相同或者相似的图片以及对应的引用页。 使用图片搜索功能可以快速找到与图片相关的各种信息。 二、ILSpy ILSpy是一个开源的.NET反编译软件,可以还原.NET程序的源代码,使用起来十分方便。开发ILSpy起源于早起的.NET反编译软件.NET Reflector宣布停止更新,所以开发者开发了这一款开源的ILSp
全——流量分析
李子木的博客
04-19 793
使用ftpcontains 230 进行过滤,对上面数据包进行追踪流,然后使用ftp-data进行过滤发送数据的流量,选择一个数据包追踪流保存为原始数据进行保存为jpg文件进行查看。8、从前面步骤查看数据流中可以看到一个suictsr247用户,对该字段进行搜索,点击查找一个分组,显示一个过滤器改为字符串进行搜索该数据包,发现对目标实施暴力破解。4.使用过滤语句:ip.src==172.16.1.110 and tcp.port==3306,对其中数据包进行追踪可以看到数据信息。
XCTF流量分析
8888的博客
05-26 625
1.我们先下载附件将其直接拖到wireshark中,这种题一般都是找flag,我们在搜索框中直接搜flag发现我们追踪流发现GET请求是盲注并且加密,那么我们进行URL解密,这里是解的两次密果然是盲注,那么我们返回请求包看它是否请求成功,因为这是HTTP协议,那么我们进行导出对象HTTP,通过查看大小,我们发现大部分都是492,之后发现一个518,这种大小不一样的,一般请求成功我们点一下发现它的长度是695,那么我们进行过滤695长度的HTTP流量包,http && frame.len ==695接着我们查
全必看流量分析经典解析----10道CTF题我是怎么完成的
最新发布
wholeliubei的博客
07-09 835
某公司内络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内pwn掉了一台打印机,请根据提供的流量包回答下面有关问题。这明显就有问题,如果说一个正常的站,images下放的是图片,但这里放了一个a.php很让人怀疑是一句话木马,而且啊,在老师的教学中,为了方便起文件直接a.php或者b.php等,所以怀疑这里大概率是有问题了,我们对其中一个进行tcp追踪。
XCTF---MISC---流量分析2
liu914589417的博客
12-06 727
XCTF---MISC---流量分析2 flag:flag{17uaji1l} 解题思路---通过题目提示了解观察HTTP流量,进行HTTP流量筛选,导出数值按照规律得到flag。
XCTF-Misc1 延时注入流量分析
orchid_sea的博客
01-06 549
附件是一个流量包,查找flag关键字。
XCTF-Mobile】新手练习区-09-Ph0en1x-100.rar
08-31
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5093&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ph0en1x_100
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
netflow流量分析工具_全运营中心之全流量系统建设
weixin_39645306的博客
11-28 924
0x00、前言企业全建设一般伴随着全业务需求而生,全运营中心建设过程中,应急响应处置流程,在清除阶段,需要查找全事件产生的根本原因并且提出和实施根治方案,这就对络层数据的回溯提出个更高的要求。那么如何在公有云上和专有云建设一套行之有效的全流量分析系统呢?下面提出一些方法和大家探讨。0x01、产品调研在自己没有建立这套系统之前,需要做一下产品调研,看看别人家都是怎么做的,当然,要寻找到适合...
基于全的流量分析技术.pdf
09-20
基于全的流量分析技术.pdf
计算机全技术:http流量隐写分析-qcms.pdf
05-12
http流量隐写分析-qcms 1.1数据包搜索、追踪流 在wireshark 界面,菜单 “编辑”--“查找分组”,或按快捷键 “Ctrl+F” , 可以进行查找。Wireshark 的查找功能支持正则表达式、字符串、十六进 制等方式。 搜索栏的左边,有分组列表、分组详情、分组字节流三个选项,分别对 应wireshark 界面的三个部分,搜素时选择不同的选项以指定搜索区域: “在分组字节流”里搜索 “字符串”一flag. http流量隐写分析-qcms 在http.协议发送特殊字符时,都需要经过URL编码后才能发送。  分组详情的数据经过了URL解码,看到的是正常flag 内容  分组字节流是真实的络数据,没有解码,将这一行数据进行 URL解码后,也可以得到flag 。 admin_name=admin&admin_password=flag%7BA bad beginning makes a bad ending.%7D&admin_ym- acms&%E7%99%BB%E5%BD%95=%E7%99%BB%E5%BD%95 http流量隐写分析-qcms 那些隐藏信息
[实践III] 实验2.流量分析
LostUnravel的博客
11-09 9388
实践III - 实验2.流量分析1 攻击主机信息分析过程2 还原的攻击步骤分析过程步骤还原3 破解的root口令口令过程 1 攻击主机信息 IP地址: 192.168.2.183 MAC地址: PcsCompu_e6:16:43(08:00:27:e6:16:43) 主机域名: kali.lan 分析过程 从 No.72 数据包开始, 可以看到 IP 为 192.168.2.183 的主机向 IP 为 192.168.2.222 的主机发送了大量的 TCP 的 SYN 报文, 而且每次 TCP 的
第三届上海大学生全大赛 流量分析
Assassin
11-06 3738
比赛时候的一道misc题目,睡觉去了没做,现在看一看感觉还是有一些意思的,决定还是补一补题目,首先打开Wireshake查看文件流,发现很多走的都是TLSv1协议,这个是加密的,暂时没什么办法解决。然后一个个分析tcp流发现了存在FTP流 发现了一些可能有用的东西,然后我们分别在这里tcp流下得到内容其中flag.zip两个 tcp.stream eq 38 tcp.stream eq 44 其中
流量分析 中职
zx66661的博客
09-06 853
根据题目要求,含flag信息的请求源ip作为Flag提交:192.168.199.212。进入提取的目录找到misc-1.pcapng。打开kali浏览器访问靶机ip加端口。解压后文件内容第一行作为flag提交。目标信息文件:flag.zip。进入目录,找到ce.txt文件。根据题目要求获取flag。根据上题筛选的数据,找到。复制文件到home目录。选择文件右击提取到此处。根据上题筛选的数据找到。e 文件名 (解压)
全模型_基于数据驱动的流量分析总结
weixin_39636099的博客
12-01 958
导读络和社交流量分析是检测和防御络攻击的基础。随着数据集的日益剧增,手工定义规则的传统方法逐渐被机器学习(ML)方法替代,这是因为ML有更好的工作性能。在数据驱动的研究背景下,通过研究社交流量和络流量的大量文献,本文采用相似相关性以及可提取特征等常用概念和共享全目标的方法来分类络主机与应用程序的络流量和用户与Tweet的社交流量。因为络和社交流量的研究不是孤立的,而是需...
CTF流量分析1
qq_45766280的博客
08-26 1075
流量分析1题解:总结 仅作为学习笔记使用 题目:Q3.pcap 题解: 先在wireshark里看一下 有HTTP先看HTTP,直接在过滤器中选择HTTP 这些包就有意思了,这些请求有些想目录扫描在不断的请求,而大部分的回应都是404,那么我们暂时推断会有访问成功的,往后面找找吧。 这两个语句成功通过了,那我们来详细分析分析这两个包。追踪流->HTTP GET /?c=print_r(gzcompress(file_get_contents(base64_decode(%22aW5kZXguc
流量分析1
qq_53229503的博客
02-06 471
攻防世界——流量分析1
流量分析:揭秘隐藏在数据包中的全威胁
A526847的博客
08-21 757
随着互联的飞速发展,流量分析全中扮演着越来越重要的角色。通过对络数据包进行深入分析,我们能够揭示隐藏其中的全威胁,及时发现并应对潜在的攻击和恶意行为。本文将探讨流量分析的基本原理、方法以及其在揭示全威胁方面的应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

愚公搬代码

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值