MISC
wireshark相关
写在前面
浅薄笔者目前还无法完全消化理解wireshark相关流量分析的工具的内涵,先就针对遇到的题目类型做简单整理记录。
1
追踪流TCP+关键词搜索
某黑客潜入到某公司内网通过嗅探抓取了一段文件传输的数据,该数据也被该公司截获,你能帮该公司分析他抓取的到底是什么文件的数据吗? 注意:得到的 flag 请包上 flag{} 提交
下载附件可知其中是一个.pcapng文件,用wireshark打开。
追踪其中的tcp流(有的题会追踪http流),故????
通过查找关键词flag可得????
2
追踪流TCP+熟悉jpg的base64表示
公安机关近期截获到某网络犯罪团伙在线交流的数据包,但无法分析出具体的交流内容,聪明的你能帮公安机关找到线索吗? 注意:得到的 flag 请包上 flag{} 提交
下载附件得一pcapng文件,用wireshark打开。如题1所示打开TCP追踪????
根据其中标记的“/9j/”部分,可得知该文件为base64形式下的jpg文件。补上文件头“data:image/jpeg;base64,”后在浏览器的地址栏中输入可得到图片
3
追踪流+foremost分离+**
一黑客入侵了某公司盗取了重要的机密文件,还好管理员记录了文件被盗走时的流量,请分析该流量,分析出该黑客盗走了什么文件。 注意:得到的 flag 请包上 flag{} 提交
wireshark追踪流可发现其中隐藏了一个rar文件????
foremost分离后,可发现压缩包带锁,暴力**可得????
解得flag。
4
追踪流+bool注入
网站遭受到攻击了,还好我们获取到了全部网络流量。 链接: https://pan.baidu.com/s/1AdQXVGKb6rkzqMLkSnGGBQ 提取码: 34uu 注意:得到的 flag 请包上 flag{} 提交
追踪http流后,观察到大量类似文件(后得知此为bool注入,查资料得在对一个字符进行bool判断时,被重复判断的ASCII值就是正确的字符)????
拼接可得,改flag的ascii为
102 108 97 103 123 52 55 101 100 98 56 51 48 48 101 100 53 102 57 98 50 56 102 99 53 52 98 48 100 48 57 101 99 100 101 102 55 125
得f l a g { 4 7 e d b 8 3 0 0 e d 5 f 9 b 2 8 f c 5 4 b 0 d 0 9 e c d e f 7 }
5
WireShark插入RSA**
Try using a tool like Wireshark.How can you decrypt the TLS stream?
给定一个pcapng文件和一**,依次点击编辑->首选项->RSA**->Add new keyfile后追踪HTTP流即可得到flag。
6
Try using a tool like Wireshark.How can you decrypt the TLS stream?
同第五题的解法能得假flag:picoCTF{this.is.not.your.flag.anymore}
搜索可得真flag:picoCTF{honey.roasted.peanuts}