1.flag被盜
下載鏈接是.pcang文件
用wireshark打開
像這種流量分析題目,就要用Wireshark自帶的搜索功能找嘗試查找一些關鍵詞(比如key、flag、shell、pass等)
右擊追蹤數據流
拿到flag{This_is_a_f10g}
2.中國菜刀
菜刀是一個連后門木馬的工具。
題目鏈接下載下來是一個.pcang,用wireshark打開
追蹤tcp流
發現里面有壓縮包,那就binwalk一下
有一個壓縮包 dd分離處理一下
分離之后把分離后的壓縮包放到win下面解壓用記事本打開就可以拿到flag
key{8769fe393f2b998fa6a11afe2bfcd65e}
3.這么多數據包
根據題目鏈接下載一個壓縮包,解壓是.pcang文件,題目提示是i先找getshell的流
說明題目最后是要拿到shell
我們從數據包的下面往上分析
一開始都是4444和1040的通信 ,追蹤一下tcp流
沒什么發現 繼續從下往上翻 是1234和35880端口
追蹤tcp流
把base64轉化一下
CCTF{do_you_like_sniffer}
4.手機熱點
用wireshark打開下載的Blatand
藍牙傳輸 於是搜索obex(自動文件傳輸),可以發現有一個secret.rar
左上角文件打開 導出分組流
解壓 拿到flag
SYC{this_is_bluetooth}
5.抓到一只蒼蠅(建議此題在kali里面搞)
把通過題目鏈接下載的.pcapng文件用wireshark打開
搜索http
右擊 追蹤tcp流
可以看見
可知這是在使用qq郵箱傳文件,使用過濾語句 http.request.method==POST
可以明顯看見192.168.1.101向59.37.116.102發送了5個數據包
我們導出這五個數據包 文件-導出對象-http
binwalk分析一下 發現有一個rar壓縮包 364應該是數據包的一些頭等等
dd依次分離,最終分離出5個壓縮包
數據包是把一個大的數據 分成一個個包發送,所以接下來思路應該是把這5個數據包連起來,組成一個完整的數據包。這里我們用cat命令合並文件
放到win環境發現並打不開 要輸入密碼 我們放到winhex里面看看是不是偽加密,rar文件最后通過不斷百度和看大佬的博客才知道是標志位出了問題,把84改為80
保存打開有一個 txt文件
文件很大,我們把txt改為exe,有很多蒼蠅一直爬
放到kali里面binwalk一下
有png文件 直接foremost全部分離
分出一個文件夾,里面有一個png文件夾 打開 全是蒼蠅最后一張是一張二維碼
掃一掃得到flag{m1Sc_oxO2_Fly}
6.日志審計
待定
7.weblogic
8.信息提取
根據題目鏈接我們下載了一個pcap文件
用wireshark打開,過濾http包
之前學過一點web所以可以知道這個過程是sql手工盲注的過程,想通過不斷地注入 去爆字段和爆表
我們單擊左上角文件然后導出http,直觀的看一下注入語句
9. 特殊后門
根據題目鏈接下載壓縮包並解壓發現是pcap文件
我們用wireshark打開
沒啥思路 ,看看題目提示
從通信方式的角度看,后門可分為http/https型、irc型、dns型、icmp型等等
然而這些包有很多類型如http/https型、irc型、dns型、icmp型
走題目順序我們先看http一個個看了並沒有什么信息
再看irc
沒有再看dns
也沒啥雖然數據包多,但點一下看還是很快的。再看看icmp
當我點第一個包時
依次點下去就是flag{Icmp_backdoor_can_transfer-some_infomation}
體力活。。。