Bugku流量分析題目總結

flag被盜

• 題目鏈接：https://ctf.bugku.com/files/e0b57d15b3f8e6190e72987177da1ffd/key.pcapng
• 解題思路：

這個題目是比較基本的流量分析題，拿到數據包后，查看幾個數據比較大的可疑數據，追蹤TCP流即可拿到flag

• flag：flag

中國菜刀

• 題目鏈接：https://ctf.bugku.com/files/047cefd48389dfc5bdc055d348bbf520/caidao.zip
• 解題思路：

拿到數據包后，追蹤一下TCP流，發現了一個flag.tar.gz的壓縮文件。

把數據包放進kali里面用binwalk分析一下，發現確實存在這個壓縮文件。然后使用binwalk將壓縮包分離。

然后解壓壓縮包，解壓后發現一個flag.txt的文件，打開就可以拿到flag

• flag：key{8769fe393f2b998fa6a11afe2bfcd65e}

這么多數據包

• 題目鏈接：https://ctf.bugku.com/files/425d97c3a1a2fa32dcead0ddd90467c0/CTF.pcapng.zip
• 解題思路：

根據提示是先找到getshell的流 ，那么不難聯想到，在getshell后會執行一些命令，但是鑒於Windows和linux下命令不同，先查看目標主機的系統版本信息，仔細查看數據包后，發現是Windows系統。

• Windows下常用命令

  systeminfo whoami netstat -ano dir ...

然后利用wireshark的顯示過濾器查看數據包

tcp contains "dir"

發現在查找dir的時候有流量，應該是執行過dir命令，然后跟蹤tcp流

然后發現了攻擊者通過type命令新建了一個txt文件，並且文件的內容是一串base64加密過的字符串

解密后拿到flag

• flag：CCTF

手機熱點

• 題目鏈接：https://ctf.bugku.com/files/e0cf5af2997acd5ff12bc70f5caddb5f/Blatand_1.pcapng
• 解題思路：

拿到數據包之后對這個數據包的名字有點好奇，於是去搜了一下，發現這是一個丹麥國王的名字......

但是又聯想到題目，手機熱點傳文件，於是推測使用藍牙進行文件傳輸，藍牙使用的是obex協議，通過wireshark過濾一下，查看數據包。發現上傳了一個secret.rar文件，以及一張jpg圖片文件 ，於是推測上傳了一個壓縮包和一張圖片，或者是上傳了一張壓縮了的圖片。

然后將壓縮文件導出

解壓后發現一張圖片，打開圖片即可拿到flag

• flag：SYC

抓到一只蒼蠅

• 題目鏈接：https://ctf.bugku.com/files/58ae08bbd739136e19ff6138e49ae643/misc_fly.pcapng
• 解題思路：

打開數據包后，追蹤一下TCP流，發現存在一個fly.rar的壓縮文件，大小為525701字節

嘗試使用binwalk分析並分離，結果得到了幾個壓縮包，使用winhex分析后並沒有發現什么有價值的信息。

然后回到數據包繼續進行分析，在wireshark的分組字節流中嘗試搜索了一下flag，結果發現了一個flag.txt的文本文件，這個時候又聯想到剛剛追蹤TCP流的時候發現好像是有跟qq郵箱有關系的流量，分析內容可以推測在使用qq郵箱傳文件，使用包過濾語句

http.request.method==POST

看到192.168.1.101向59.37.116.102發送了5個連續的文件包（按時間排序）

將這5個文件導出然后進行合並，由於TCP包有文件頭，我們需要計算一下文件頭的大小。

這5個文件的大小分別為131436*4+1777，總大小為527571，但是剛才我們拿到數據包時看到的文件大小為525701，於是文件頭的大小為527571-525701=1820，1820/5=364.

將文件導出后使用kali linux的dd命令將文件頭去掉，以便進行合並。

dd if=文件名  bs=1 skip=364 of=要保存的文件名

然后將11 22 33 44 55這5個文件使用Windows下的copy命令進行合並。

copy /B 11+22+33+44+55 fly.rar

合並得到的壓縮包報錯，用winhex查看得知是進行了偽加密，解密后將壓縮文件解壓，得到flag.txt文件。

打開flag.txt文件時一堆亂碼，但是在亂碼中發現了Win32的標志，說明這是一個win32可執行程序，改后綴為exe，然后執行。執行后發現滿屏幕的蒼蠅......

使用winhex打開flag.exe發現了png字符，於是猜測里面還有其他的東西。使用foremost分離，得到了很多圖片。

最后一張圖片是一個二維碼，掃描二維碼拿到flag。

• flag：flag

weblogic

• 題目鏈接：https://ctf.bugku.com/files/d0efc1322758fceb5cab0bb66af860e0/weblogic.pcap

• 解題思路：

  根據已知條件，flag為主機名，並且主機名為十六進制。直接在數據包中搜索hostname，發現了兩個存在這個字符串的數據包，分別追蹤TCP流，在數據流中搜索hostname，即可看到主機名。

  

  

  • flag：flag{6ad4c5a09043}

信息提取

• 題目鏈接：https://ctf.bugku.com/files/0ce4f7d4beb6cc82f37a8fda2c70b713/sqlmap.pcap

• 解題思路：

打開數據包后，發現只有http和tcp的包，過濾一下http包，只顯示http內容。

粗略的看一下，結合題目的提示“sqlmap用過嗎”，可以看出這是一個布爾盲注的過程，從sql注入檢測，猜解數據庫，表名...

一位一位的猜取flag，然后用二分法判斷其ascii碼的范圍並最終確定這一位的值。

如果語句正確會有回顯，回顯內容為：The quick brown fox jumps over the lazy dog

以第一個字符為例，可以看到第一個字符判斷的時候，先判斷其是否大於64，后面又判斷了是否大於96，說明這個字符肯定大於64，所以此時作比較的ascii碼增加64的二分之一，即96，接着向下看，作比較的ascii碼變成了80，說明這個字符小於96，所以大於64又小於96，繼續向下分32的二分之一，即80，在接着向下看，作比較的ascii碼變為了72，說明這個字符依然小於80，繼續向下分16的二分之一，即72，繼續向下看，作比較的ascii碼變為了76，說明這個ascii碼大於72，所以向上分8的二分之一，即76，繼續向下看，作比較的ascii碼變為了74，說明這個ascii碼小於76，所以向下分4的二分之一，即74，繼續向下看，作比較的ascii碼變成了73，且下一個包變為了64，說明已經判斷結束，因此大於72又不大於73，這個ascii碼為73，對應的字符為I。這就是二分法。 以此類推，可以獲得flag。

• flag：ISG

特殊后門

• 題目鏈接：https://ctf.bugku.com/files/ee89c5bb3fd5b44862f7ef40cd88fe4a/backdoor.zip

• 解題思路： 拿到數據包查看，意思大概是通過icmp協議傳遞數據，在數據包中搜索一下flag，發現了一個flag is here的字符串，緊接着是一系列的icmp包，逐一查看發現每一個包里面有一個字符，拼接起來即為flag

• flag：flag