[纵横网络靶场社区]简单流量分析

于 2021-09-20 13:58:18 发布 560 收藏 4
分类专栏: CTF_MISC_Writeup 文章标签: 工控CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mochu7777777/article/details/120389867
版权

在这里插入图片描述
每个ICMP包的data字段都带了一段不同的base64
在这里插入图片描述
尝试解码了几段,发现啥也不是。之后的思路需要一点点脑洞,但是对于经验比较丰富的misc手来说也不难猜。
经过仔细观察每个ICMP包中的data段中的base64长度都为十进制ASCII码的可显示字符范围。
将这些ICMP请求包中的data字段数据提取出来,返回包的数据和请求包是一样的,提取的时候只提取请求包的即可

使用tshark提取源地址为192.168.3.73的包的data字段:

tshark -r fetus_pcap.pcap -Y 'ip.src_host=="192.168.3.73"' -e data -T fields > icmp_data.txt

在这里插入图片描述
得到data字段的字节流数据,接下来只需要统计每个包提取出来的data字段的长度,转换为ASCII码即可,使用Python简单处理即可

from binascii import *
from base64 import *

base64_data = ''
with open('icmp_data.txt', 'r') as f:
    lines = f.readlines()
    for line in lines:
        line = unhexlify(line.strip())
        asc_code = int(len(line))
        base64_data += chr(asc_code)
print(b64decode(base64_data))

在这里插入图片描述

flag{xx2b8a_6mm64c_fsociety}
末初mochu7
关注
  • 3
    点赞
  • 4
    收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
监控IP流量包.rar
04-24
这个程序可以实现计算机网络的监控IP网络包的功能,适用于计算机网络课程的扩展学习,能够实时监控计算机内的流量包数据,可以作为一个计算机网络的小作业
纵横网络靶场社区-隐藏的黑客
底层社会中的弱智
03-30 811
分析流量包 筛选http协议流量包 使用查询webshell等关键字 找到webshell.php进行取证 可以看出文件以PK开头是一个压缩包文件的头部信息 压缩包中存在webshell.php文件 使用010editor新建Hex文件 复制到010editor中 另存为1.zip 需要解压密码 写个脚本获取upload文件中每个webshell的登陆密码 import os,sys import re if __name__ == '__ma...
Arbor Peakflow SP检测网络流量异常专家
10-19
流量检测,Arbor,Peakflow,,DDoS,ArborPeakflow产品通常部署在网络核心,用以检测和减除多种网络威胁。Peakflow产品可以为关键业务决策提供无可比拟的网络可视性和广泛的报告能力。ArborPeakflow®已部署于世界上70%的ISP网络上,是基于流的网络安全和网络分析的事实标准。,,,Arbor为那些依赖高度可靠、和完全优化网络的公司建造可用性解决方案。通过无与伦比的全网可视性和可扩展性,ArborPeakflow让企业对网络实现可视化和可控化,保持业务连续性,提高,SLA,以及防止用户流失。,,,,ArborPeakflow产品通常部署在网络核心,用
[纵横网络靶场社区]大工UDP协议
末初 · mochu7
09-12 331
udp contains "flag" 追踪一下upd流,发现很明显有一串hex编码的flag字符串 flag{7FoM2StkhePz}
Web安全—流量分析(墨者靶场
weixin_44431280的博客
03-14 1888
Web安全—流量分析(墨者靶场) 提要:本文主要记录墨者靶场流量分析(电子取证)的思路过程,注重学习思路过程并非问题答案。 问题说明: 分析数据包找出上传Webshell的IP地址,数据包可在下载 分析思路: 使用Wireshark打开数据包,wireshark使用可参考文章Web安全工具—WireShark使用 方法一: 1,因为题目已说明是webshell上传,同时文件上传通常使用post请求方法,所以我们只需要分析http协议流量,过滤请求方法为post的http流量: 过滤表达式:http.re
纵横靶场工控安全wp:奇怪的文件。
Zhangyannn的博客
07-05 912
奇怪的文件 题目描述:在上位机中发现奇怪的文件,你能发现其中的秘密吗?flag形式为 flag{} 文件下载下来是三个不知什么格式的文件,一开始采用010分析part1,只能看到文件中似乎存在jpg文件 所以一开始的想法是在kali中直接binwalk提取隐藏文件。 事实证明我的想法还是太过简单了:嘶,竟然提取不出来,foremost也不行= =那为啥文件中会有一个jpg格式的隐藏文件? 好了接下来就到了我们请神的时候了!反手一个wp请神: part1、part2、part3分别对应的是ZIP压缩包的
简单流量分析CTF(wireshark)
wcl20010的博客
05-10 7285
没做过流量分析的题目,也不怎么了解怎么流量分析,准备系统的理一下思路。。 这有第一个小题目。通过几个题目来了解wireshark的使用以及流量分析吧。。 追踪流量 bugku的杂项题目。 链接:https://pan.baidu.com/s/1OnO7OXIQB8ztl8J2q48jBA 提取码:1111 这是一个pacp文件 是一种常用的数据报存储文件,存储了一段数据包。 打开wireshark直接文件拖进去就可以打开了。 然后右键一个数据包选择追踪流 点开就得到了fla...
纵横网络靶场刷题记录
最新发布
qq_39608382的博客
11-04 742
ctf工控刷题
工控安全,纵横网络靶场部分WP(一)
Zhangyannn的博客
06-04 2278
纵横网络靶场部分 wp 前言 最近有了misc、二进制、web的一些基础后,准备开始工控安全的一些题目学习。目前做了几道靶场题目,发现主要题型还是和modbus等工控协议相关的流量分析、misc相关等,所以简单做一个记录,以便以后学习回顾。 黑客的大意 题目描述: 文件下载下来后得到的是一个没有格式的文档,所以我们先用winhex或者010看一下文件是什么格式的 可以看到,文件头显示mail文件是png格式的,所以我们修改后缀名,用png格式打开mail文件,得到如下的图片 可以看到得到的图片里面包含
一道简单流量分析
weixin_52268949的博客
11-22 4704
流量附件提取 链接:https://pan.baidu.com/s/1oHSbIFiqs6ENmqykzFkEKg 提取码:do7s 1、 使用Wireshark查看并分析attack.pcapng数据包文件,通过分析数据包attack.pcapng找出黑客的IP地址,并将黑客的IP地址作为FLAG(形式:[IP地址])提交: 我们使用http.request.method == GET这个方法来过滤一下GET请求包 发现两个登录页面的请求包一个是172.16.1.10向172.16.1.101发出的请
【LinkCTF-29】Misc--非常简单流量分析
VZZmieshenquan的博客
03-02 2164
Description: 非常简单流量分析 Solution: 先过滤http,发现robots文件,追踪http流发现abc.html 再过滤abc.html文件,查看http流,发现密文 发现很多加密过的文件(都是IPSec加密后的流量) 用之前得到的密文来解密,点击这里进行解密 依次输入密文 然后发现http带着ASCII码 得到了Thereisnoflaghere,p...
[纵横网络靶场社区]工控安全取证
末初 · mochu7
09-15 718
使用file命令查看capture.log,发现是pcap文件,修改后缀为.pcap 根据题目描述可以理解为两种意思: 一个IP的第四次扫描 第四个IP的第一次扫描 分析流量包,发现了192.168.0.9、192.168.0.199、192.168.0.1、192.168.0.254共四个,流量包前面大部分都是192.168.0.9在进行SYN扫描192.168.0.99。如果题目意识是第一种意思,那么flag就应该为192.168.0.9的第四次扫描。 第四次扫描的数据包编号是11,提交fla.
tshark的抓包和解析
weixin_30807779的博客
02-22 587
1、 a、解析dhcp抓包文件 -r 读抓好的数据包文件 tshark -r 数据包路径 -Y 过滤条件基本上可以运用 wirshark上的过滤条件 查找中继后dhcp discover src ip 报文 tshark-r E:\testpacket\testdhcp.pcapng -Y "bootp && ip.sr...
在互联网上,没有人知道你是一条狗?
信息安全-企业安全-数据安全
08-22 3万+
1993 年,《纽约客》(The New Yorker)杂志刊登一则由彼得·施泰纳(Peter Steiner)创作的漫画:标题是【On the Internet, nobody knows you’re a dog.】 这则漫画中有两只狗:一只黑狗站在电脑椅上,爪子扶着键盘。它望向站在地上、表情迷茫的另一只狗,兴奋地说:「在互联网上,没人知道你是一条狗。 (On the Internet, nobody knows you’re a dog.)画中那只狗的台词随即成了 IT 界广为流传的经典笑话。 那个
主流网络文学网站流量分析用户需求
互零网络科技有限公司
08-14 6581
许多朋友特别担心的是,网络文学圈近年来并不太平。一些网站在一步步走下坡路,一些网站在悄然崛起。让我带你对主流网站做一个详细的清单分析。 我们只从流量的角度来分析网站。如果你想知道的网站没有进入我们的目录,有两种情况我们错过了,或者这个网站和应用根本没有流量。 01、阅读APP 虽然文悦最近做了一些蜂蜜业务,但它作为行业中唯一真神的地位不会改变。大概,没有必要介绍更多关于阅读的内容,并且有足够的流量保证,但是实际上有很多网站打着阅读的旗号。 Qq阅读:云起与创造。这两个网站的qq阅读流量最高,但网站本
攻防世界 Crypto高手进阶区 5分题 简单流量分析
闵行小鱼塘
01-07 1066
继续ctf的旅程,攻防世界Crypto高手进阶区的5分题,本篇是简单流量分析的writeup
大数据流量分析
OnTheRoad的博客
04-02 1万+
数据分析工具:FineBI 商业智能工具http://www.finebi.com/ 数据分析的本质其实是做数据对比分析,没有数据对比,单一的指标统计往往难以发挥数据价值。像我们常见的数据对比分析方法有同比、环比、占比等一系列分析指标,那是不是所有的数据业务场景都可以直接进行套用分析呢?比如我们统计企业2018年1月29日的同比流量,是不是可以直接对比2017年1月29日?表面上看好像2017年1...
Web实战-流量分析
cc菜的一批
11-28 1305
题目地址:流量分析.rar 因为我不太会wireshark,因此我特意搜索一下相关教程。 推荐地址:https://www.cnblogs.com/koushuige/p/9212033.html 我用尽了力气,看个大概之后,打开我的wireshark,打开那个文件。 打开一看,有137条,不慌,不算太多,没有深厚基础的我,那就一条一条的往下翻一翻吧。。。 我猛然注意到,这尼玛咋会有一条黑色的...
ctf流量分析
热门推荐
xixixi
08-25 3万+
例题记录 用wireshark打开流量包 找到三次握手之后的http包 User-Agent里面有多个浏览器的名字,并且存在AppleWebkit,所以该攻击者利用了awvs扫描 awvs数据包判断标准:User-Agent里面有多个浏览器且存在AppleWebkit ...
【甄选靶场】Vulnhub百个项目渗透——项目七:DerpNStink-1(sql注入,流量分析
weixin_65527369的博客
08-23 1385
【专为新人甄选】Vulnhub百个项目渗透——项目七:DerpNStink-1
web安全攻击方法流量分析
博客地址 www.sec0nd.top
07-18 1884
想起来一个思路,用wireshark抓包工具,去看一下每种攻击行为的流量,如果能分析出一些攻击行为的流量特征也不错。之前也学过wireshark,但是做的都是一些其他流量分析,还没使用这个工具进行分析一些攻击行为。......

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

末初mochu7

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值