流量、日志分析

流量分析

知识点:

流量包分析简介 - CTF Wiki (ctf-wiki.org)

Wireshark 基本语法,基本使用方法,及包过虑规则_wireshark语法_竹痕的博客-CSDN博客

MISC:流量包取证(pcap文件修复、协议分析、数据提取)_流量数据文件提取_小哈里的博客-CSDN博客

[DDCTF2018]流量分析

看了提示存在一个私钥

流量包中搜索KEY

tcp contains "KEY"

有一串base64的图片数据,追踪流把它拿出来

Base64解码

ORC在线识别

套上正确的SSL私钥格式

在wireshark中TLS用该SSL私钥进行解密

然后就可以查看http传输内容了

追踪一下HTTP流即可

发现flag

攻防世界-misc-流量分析1

wireshark打开,发现很多HTTP和TCP的包

追踪流看看

请求包url解码看看

复制代码
GET /index.php?url=gopher://127.0.0.1:80/
_POST /admin.php HTTP/1.1
Host: localhost:80
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 78

id=1) and if((ascii(substr((select flag from flag),1,1))='45'),sleep(3),0) -- 

可以看到是一个ssrf和sql的时间注入

对flag读取第一个字符转换为ascii码,如果和45相等,就延时三秒,就是对数据库中的flag进行猜解

那我们过滤数据包的条件就在wireshark输入命令,http.time >=3

一共14个包,依次对这14次请求的参数进行ASCII码还原,得到flag

flag{1qwy2781}

攻防世界-misc-流量分析

打开流量包,大概浏览了一下,发现找到了一些get语句

拿出一句分析一下看看,可以发现是一个sql的注入查询,substring函数取字符串的特定位置,从1取到38。查看每个位置对应的ascii码,当ascii码正确时,取下个位置

复制代码
id=1' and ascii(substring((select keyid from flag limit 0,1),1,1))=100#

用了下大佬的脚本

python 复制代码
import re

with open("1.pcapng", "rb") as f: #打开名为"1.pcapng"的文件,使用二进制模式读取文件内容。
    contents = f.read()
    res = re.compile(r'0,1\),(\d+),1\)\)=(\d+)%23').findall(str(contents))  #使用正则表达式模式匹配文件内容,提取符合模式的数据。匹配到的结果以列表形式存储在变量res中。
    dic = {}    #创建一个空字典dic。
    for a, b in res:   #遍历匹配到的结果列表。
        if a in dic:      #检查字典dic中是否已存在键a。

            if int(b) > dic[a]:   #如果当前匹配到的值b(转换为整数类型)大于字典中键a对应的值,则执行以下操作。
                dic[a] = int(b)    #更新字典dic,将键a的值更新为当前匹配到的值b(转换为整数类型)。
        else:
            dic[a] = int(b)
    flag = ""
    for i in range(1,39):    #遍历范围为1到38的整数。
        flag += chr(dic[str(i)])   #将字典dic中键为字符串形式的当前整数i的值,转换为相应的字符,并添加到字符串flag中。
    print(flag)

得到结果

日志分析

知识点:

电子取证-Windows日志分析 | W4rnIn9 (joner11234.github.io)

日志分析_RuoLi_s的博客-CSDN博客

[陇剑杯 2021]简单日志分析(问1)

复制代码
某应用程序被攻击,请分析日志后作答:
黑客攻击的参数是______。(如有字母请全部使用小写)

直接看日志文件,可以发现参数是user

[陇剑杯 2021]简单日志分析(问2)

复制代码
某应用程序被攻击,请分析日志后作答:
黑客查看的秘密文件的绝对路径是_____________。

base64解密里面传的语句即可得到

[陇剑杯 2021]简单日志分析(问3)

复制代码
某应用程序被攻击,请分析日志后作答:
黑客反弹shell的ip和端口是_____________。

和上一问一样,分析这些语句,解密后就知道

[闽盾杯 2021]日志分析

一个日志文件,解码后发现有sqlmap的日志 ,大概分析一下

判断其ascii码值的大小关系,判断正确返回的长度为675错误返回长度678这样我们就可以根据每一位的返回结果判断具体的ascii值通过搜索password分析

一直推下去 ,最后将ascii转换为字符即可

NSSCTF{ngjfdsUbdK}

相关推荐
Zz_waiting.2 分钟前
网络原理 - 11(HTTP/HTTPS - 2 - 请求)
运维·网络·网络协议·mysql·http·https·抓包
keerduoba5 分钟前
ACTF2025 - WEB Excellent-Site
经验分享·flask
keep intensify1 小时前
数据结构---单链表的增删查改
c语言·数据结构·c++·经验分享·学习·算法·分享
G扇子1 小时前
深入解析CSRF攻击:从攻击机制到多层次防护策略
前端·安全
JhonKI2 小时前
【Linux网络】深入解析I/O多路转接 - Select
linux·运维·网络
洞窝技术2 小时前
前端安全那些事儿:防范与应对策略
前端·安全
精神病不行计算机不上班2 小时前
【计网】计算机网络的类别与性能
网络·计算机网络
我学上瘾了2 小时前
链表反转_leedcodeP206
网络·redis·链表
TeleostNaCl2 小时前
CMCC RAX3000M使用Tftpd刷写OpenWrt固件的救砖方法
经验分享·智能路由器