1. 題目信息
題目背景:運維人員在日常安全檢查的時候發現現場某設備會不時向某不知名ip發出非正常的ICMP PING包。這引起了運維人員的注意,他在過濾出ICMP包分析並馬上開始做應急處理很可能已被攻擊的設備,附件給出可疑流量包。
2. 分析
流量分析題,分析的方法基本上有:binwalk、查找一些可疑字符串或16進制數據,排序流量包的長度(最長的流量包一般很可疑);當我們對流量包的長度進行排序時,發現流量包最短90字節,最長也不過164字節,其中的data段數據長度從48到122,而ascii表中第48至122個字符為0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxyz,於是將每個流量包的長度轉換為對應字符,然后連接成一段長字符串,看上去像base64編碼,對字符串進行base64解碼即可!
3. 解題
實現的Python腳本如下:
from pyshark.capture.file_capture import FileCapture
from base64 import b64decode
from sys import argv
def solve(file_name):
packets=FileCapture(input_file=file_name)
res=''
for packet in packets:
for pkt in packet:
if pkt.layer_name=='icmp' and int(pkt.type,16):
res+=chr(int(pkt.data_len))
return b64decode(res)
if __name__=='__main__':
print solve(argv[1])
程序運行結果如下:
$ python solve.py fetus_pcap.pcap
::\nmongodb:!:17843:0:99999:7:::\nubuntu:$6$LhHRomTE$M7C4n84UcFLAG{xx2b8a_6mm64c_fsociety}::