Misc_流量分析_基础
Charmersix
  2022-06-17 00:00:00 2022-06-17 00:00   2023-04-09 16:33:31   1.2k Words  4 Mins  

不能鸽了,从考试周,鸽到现在,新建文件夹半个月了,今天必写出来

开始咱们先说点流量分析常见的题目。

flag能直接找到

这部分题可能就难在谁有耐心吧,最简单的就是通过flag查找工具,直接找到flag,或者是通过常见编码后的flag

常见的有这几种

#默认字符关键字
flag,666c6167,Zmxh,&#102,464C4147

#默认正则关键字
flag{.+},666c6167\w+,Zmxh[\w=]+,&#102.+

#其他关键字
key,ctf,f1ag,ffllaagg,f-l-a-g

#flag二进制格式
1100110011011000110000101100111

#正则编码类
key{.},ctf{.},f1ag{.*}

#正则匹配中文
[\u4E00-\u9FA5]+

#百里挑一正则
.[a-f1234567890]{17}}

#ip正则
\d+.\d+.\d+.\d+

#flag反写
{.*}galf

#安恒
dasctf

cyberpeace{.*}

还有一些流量包东西很杂,一条条翻太慢了,可以在跑一下string,就一目了然

还有一些就是flag分段的,可能每个字母都在不同的包中,也可能分成了几段。

这一块中,比较难的就是编码不常见的,那玩意看见了都不一定能猜到那是flag,更何况他再藏得深一点,像第二届网刃杯的

ncsubj、xyp07和cryptolalia

这个xyp07很奇妙,拿科莱一跑就出来了。

cryptolalia非对称加密,这个看出来需要一定的经验。

能从流量包中提取出文件的

这一块大部分都能通过导出文件这一操作来实现,当然有些时候用binwalk或者是formost分离出来,如果这个文件是在流量包中的,那么这两个工具提取可能没有那么顺利,比如说一个图片可能能提出来,但是损坏了,这样很影响后边的判断。但是如果是流量文件隐写了个文件,这俩工具还是挺好用的。

导出文件操作呢,不熟悉wireshark的可能不会

具体就是

左上角文件—>导出对象

还有一种是流量包中存在被base64编码过的文件

经典的菜刀666,之前也有写过,在这里

SQL盲注流量

这一块在日志分析,流量分析中都会涉及,考到了也不难,就是那一种题型

之前也在这里写过

之前没有提供脚本,这边给大家一个,但是需要根据具体题目自己改一改

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
#GET /index.php?act=news&id=1%20and%20ascii(substr(((select%20concat_ws(char(94),%20flag)%20%20from%20db_flag.tb_flag%20%20limit%200,1)),%2038,%201))>125
import re
a = []
with open ("sqltest.pcapng","rb") as f:#读取pcap文件
    for i in f.readlines():
        if (b"id=1%20and%20ascii(substr(((select%20concat_ws(char(94),%20flag)%20%20from%20db_flag.tb_flag%20%20limit%200,1))," in i):
            #print(i)
            a.append(i)#把这些东西搞到a数组里
a1 = {}
for i in a:
    #print(i)
    b = re.search(br"%200,1\)\),%20(\d+),%201\)\)",i).group(1)
    c = re.search(br">(\d+) HTTP/1.1",i).group(1)
    #print(b)
    #print(c)
    a1[int(b)] = int(c)
#从a开始调出来
#print(a1)
flag =''
for i in range (1,39):
    flag+=(chr(a1[i]))

print(flag)
#整成一行

USB流量分析

这一块常考的就是键鼠,都考烂了,应该不会难,2022国赛换汤不换出了一个,也是给我整懵逼了,这里边分了两块,一部分是能跑出个压缩包,另一部分是密码,刚开始没意识到,跑出来rar损坏,然后把队友思路都整偏了,都在修rar,我的错我的错。

比较难的,见过一个数位板这里写过

还可能会出现一些手柄,刻字机啥的。

然后推荐雪殇以及其他两位大佬共同写的一个工具,只能说tql

工具在这里

根据题目要求做题

这部分一定要认真读题,可能并不是找flag,一定要看清楚让你找啥,比如说一些工控题目,webshell比如这个

这部分里也有你从未接触过的知识,这样可以仔细看一下追踪流,找找有什么规律,比如2021国赛题目robot,之前也是写过

还有就是第二届网刃杯:喜欢移动的黑客、LED_BOOM

一定一定要认真读题,认真分析,认真找规律。

总结

流量分析大体思路

  1. 拿到后,先看一下题目题干,然后先find
  2. 如果没有找到,看一下是不是http,若果是先统计http请求看一下,或者是放到科莱里,总体看一下
  3. 导出对象,看一下
  4. 追踪流,挨个流看,如果很多,倒着看
  5. string跑一下
  6. 是不是usb,跑脚本
  7. 有没有隐写
  8. 有没有大串编码
  9. 从来没见过的协议,去百度
  10. 记得把文件放010editor里看一下

这部分还算是比较简单,算是基础吧,像那些WiFi,被加密过的流量,都还没有写,因为那些我也玩的不遛

  • Post title: Misc_流量分析_基础
  • Post author: Charmersix
  • Create time: 2022-06-17 00:00:00
  • Post link: 2022/06/17/misc_flow/
  • Copyright notice: All articles in this blog are licensed under BY-NC-SA unless stating additionally.
 Comments
  1. 1. flag能直接找到
  2. 2. 能从流量包中提取出文件的
  3. 3. SQL盲注流量
  4. 4. USB流量分析
  5. 5. 根据题目要求做题
  6. 6. 总结