Wireshark on 知识带给我们自由 https://yuexuan521.github.io/zh/tags/wireshark/ Recent content in Wireshark on 知识带给我们自由 知识带给我们自由 https://yuexuan521.github.io/%3Clink%20or%20path%20of%20image%20for%20opengraph,%20twitter-cards%3E https://yuexuan521.github.io/%3Clink%20or%20path%20of%20image%20for%20opengraph,%20twitter-cards%3E Hugo -- 0.160.1 en-us See this site&rsquo;s source code here, licensed under GPLv3 · Mon, 07 Jul 2025 08:00:00 +0000 BUUCTF [CFI-CTF 2018]webLogon capture 1 https://yuexuan521.github.io/zh/posts/buuctf-cfi-ctf-2018weblogon-capture-1/ Mon, 07 Jul 2025 08:00:00 +0000 https://yuexuan521.github.io/zh/posts/buuctf-cfi-ctf-2018weblogon-capture-1/ <p> <div class="post-img-view"> <a data-fancybox="gallery" href="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228190856167.png"> <img src="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228190856167.png" alt="" loading="lazy" /> </a> </div></p> <p><strong>BUUCTF: <a href="https://buuoj.cn/challenges"target="_blank" rel="noopener noreferrer">https://buuoj.cn/challenges</a></strong></p> <hr> <p>相关阅读 <a href="https://ctf-wiki.org/"target="_blank" rel="noopener noreferrer">CTF Wiki</a></p> <p> <div class="post-img-view"> <a data-fancybox="gallery" href="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228190858220.png"> <img src="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228190858220.png" alt="在这里插入图片描述" loading="lazy" /> </a> </div></p> <h3 id="题目描述">题目描述:</h3> <p>得到的 flag 请包上 flag{} 提交。</p> <h3 id="密文">密文:</h3> <p>保存附件,解压得到tmp文件夹,内有logon.pcapng。</p> <p> <div class="post-img-view"> <a data-fancybox="gallery" href="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228190859752.png"> <img src="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228190859752.png" alt="在这里插入图片描述" loading="lazy" /> </a> </div></p> <hr> <h3 id="解题思路">解题思路:</h3> <p>1、没想到这道题这么简单。双击logon.pcapng文件,在Wireshark中打开,流量很少。</p>

BUUCTF: https://buuoj.cn/challenges

相关阅读 CTF Wiki

在这里插入图片描述

题目描述:

得到的 flag 请包上 flag{} 提交。

密文:

保存附件,解压得到tmp文件夹,内有logon.pcapng。

在这里插入图片描述

解题思路:

1、没想到这道题这么简单。双击logon.pcapng文件,在Wireshark中打开,流量很少。

在这里插入图片描述

直接追踪HTTP流,看一下内容。发现是登录流量,尝试登录三次,都失败了。但用户名和密码并没有变化,只是尝试登录了三次。

在这里插入图片描述

登录所使用的 password ,使用URL编码。使用在线网站进行解码,得到flag: CFI{1ns3cur3_l0g0n}

在线urlencode编码、urldecode解码、url编码解码、百分号编码

1

%20%43%46%49%7b%31%6e%73%33%63%75%72%33%5f%6c%30%67%30%6e%7d%20

在这里插入图片描述

flag:

1

 flag{1ns3cur3_l0g0n}
]]> BUUCTF 大流量分析(三) 1 https://yuexuan521.github.io/zh/posts/buuctf-%E5%A4%A7%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90%E4%B8%89-1/ Mon, 12 May 2025 09:00:00 +0000 https://yuexuan521.github.io/zh/posts/buuctf-%E5%A4%A7%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90%E4%B8%89-1/ <p> <div class="post-img-view"> <a data-fancybox="gallery" href="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228192841294.png"> <img src="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228192841294.png" alt="" loading="lazy" /> </a> </div></p> <p><strong>BUUCTF: <a href="https://buuoj.cn/challenges"target="_blank" rel="noopener noreferrer">https://buuoj.cn/challenges</a></strong></p> <hr> <p>相关阅读 <a href="https://ctf-wiki.org/"target="_blank" rel="noopener noreferrer">CTF Wiki</a> <a href="https://www.cnblogs.com/yunqian2017/p/14298416.html"target="_blank" rel="noopener noreferrer">BUUCTF | 大流量分析 (一)(二)(三)</a></p> <p> <div class="post-img-view"> <a data-fancybox="gallery" href="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228192843830.png"> <img src="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228192843830.png" alt="在这里插入图片描述" loading="lazy" /> </a> </div></p> <h3 id="题目描述">题目描述:</h3> <p>某黑客对A公司发动了攻击,以下是一段时间内我们获取到的流量包,那黑客预留的后门的文件名是什么?(答案加上flag{})附件链接: <a href="https://pan.baidu.com/s/1EgLI37y6m9btzwIWZYDL9g"target="_blank" rel="noopener noreferrer">https://pan.baidu.com/s/1EgLI37y6m9btzwIWZYDL9g</a> 提取码: 9jva 注意:得到的 flag 请包上 flag{} 提交</p>

BUUCTF: https://buuoj.cn/challenges

相关阅读 CTF Wiki BUUCTF | 大流量分析 (一)(二)(三)

在这里插入图片描述

题目描述:

某黑客对A公司发动了攻击,以下是一段时间内我们获取到的流量包,那黑客预留的后门的文件名是什么?(答案加上flag{})附件链接: https://pan.baidu.com/s/1EgLI37y6m9btzwIWZYDL9g 提取码: 9jva 注意:得到的 flag 请包上 flag{} 提交

密文:

下载附件,有很多pcap流量包。

在这里插入图片描述

解题思路:

1、寻找黑客留下的后门文件,对于php站点,通常成功上传木马后,会测试 phpinfo() 返回。

所以,在流量包中搜索 phpinfo() ,过滤语句如下:

1

tcp contains "phpinfo()"

最终,在该流量包 数据采集D_eth0_NS_20160809_172831.pcap 发现 phpinfo()

在这里插入图片描述

执行 phpinfo() 的文件是admin.bak.php,黑客预留的后门的文件名是 admin.bak.php

在这里插入图片描述 

1

GET /admin.bak.php?a=assert&b=phpinfo() HTTP/1.1\r\n

flag:

1

flag{admin.bak.php}
]]> BUUCTF 大流量分析(二) 1 https://yuexuan521.github.io/zh/posts/buuctf-%E5%A4%A7%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90%E4%BA%8C-1/ Mon, 12 May 2025 08:30:00 +0000 https://yuexuan521.github.io/zh/posts/buuctf-%E5%A4%A7%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90%E4%BA%8C-1/ <p> <div class="post-img-view"> <a data-fancybox="gallery" href="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228192851996.png"> <img src="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228192851996.png" alt="" loading="lazy" /> </a> </div></p> <p><strong>BUUCTF: <a href="https://buuoj.cn/challenges"target="_blank" rel="noopener noreferrer">https://buuoj.cn/challenges</a></strong></p> <hr> <p>相关阅读 <a href="https://ctf-wiki.org/"target="_blank" rel="noopener noreferrer">CTF Wiki</a> <a href="https://blog.csdn.net/mochu7777777/article/details/110494041"target="_blank" rel="noopener noreferrer">BUUCTF:大流量分析(二)</a></p> <p> <div class="post-img-view"> <a data-fancybox="gallery" href="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228192854069.png"> <img src="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228192854069.png" alt="在这里插入图片描述" loading="lazy" /> </a> </div></p> <h3 id="题目描述">题目描述:</h3> <p>黑客对A公司发动了攻击,以下是一段时间内获取到的流量包,那黑客使用了哪个邮箱给员工发送了钓鱼邮件?(答案加上flag{})附件链接: <a href="https://pan.baidu.com/s/1EgLI37y6m9btzwIWZYDL9g"target="_blank" rel="noopener noreferrer">https://pan.baidu.com/s/1EgLI37y6m9btzwIWZYDL9g</a> 提取码: 9jva 注意:得到的 flag 请包上 flag{} 提交</p>

BUUCTF: https://buuoj.cn/challenges

相关阅读 CTF Wiki BUUCTF:大流量分析(二)

在这里插入图片描述

题目描述:

黑客对A公司发动了攻击,以下是一段时间内获取到的流量包,那黑客使用了哪个邮箱给员工发送了钓鱼邮件?(答案加上flag{})附件链接: https://pan.baidu.com/s/1EgLI37y6m9btzwIWZYDL9g 提取码: 9jva 注意:得到的 flag 请包上 flag{} 提交

密文:

下载附件,有很多pcap流量包。

在这里插入图片描述

解题思路:

1、看第一个流量包,钓鱼邮件一般出现在攻击前期,寻找SMTP流量。

邮件协议:POP、SMTP、IMAP

在这里插入图片描述

追踪TCP流,发现几个邮箱。(拥有同样后缀@t3sec.cc的邮箱,应该是公司员工的邮箱)

在这里插入图片描述

往下查看流量,发现一段Base64编码的数据。

在这里插入图片描述

解码后,发现疑似钓鱼邮件,确认黑客使用的邮箱是: xsser@live.cn

1
2
3
4

tPO80rrDoaMNCiAgICAgvPjT2rmry77N+MLnvNy5ubjEtq+jrLK/t9bTptPD0OjSqsn9vLajrL7J
sOaxvm1haWyhom9hoaJjcm21yM+1zbPW8LK9vavM5ru7o6zH67TzvNK1x8K8aHR0cDovLzExOC4x
OTQuMTk2LjIzMjo4MDg0L2dldC5waHAgzO7QtNfUvLq1xNXKusXS1LHjxeS6z8+1zbPJ/by2oaMN
CiAgICDQu9C7tPO80qOhDQoNCg==

1
2
3

大家好
     鉴于公司网络架构改动部分应用需要升级旧版本mailoacrm等系统逐步将替换请大家登录http://118.194.196.232:8084/get.php 填写自己的帐号以便配合系统升级
    谢谢大家

在这里插入图片描述

flag:

1

flag{xsser@live.cn}
]]> BUUCTF 大流量分析(一) 1 https://yuexuan521.github.io/zh/posts/buuctf-%E5%A4%A7%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90%E4%B8%80-1/ Mon, 05 May 2025 08:30:00 +0000 https://yuexuan521.github.io/zh/posts/buuctf-%E5%A4%A7%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90%E4%B8%80-1/ <p> <div class="post-img-view"> <a data-fancybox="gallery" href="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228192825456.png"> <img src="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228192825456.png" alt="" loading="lazy" /> </a> </div></p> <p><strong>BUUCTF: <a href="https://buuoj.cn/challenges"target="_blank" rel="noopener noreferrer">https://buuoj.cn/challenges</a></strong></p> <hr> <p>相关阅读 <a href="https://ctf-wiki.org/"target="_blank" rel="noopener noreferrer">CTF Wiki</a> <a href="https://blog.csdn.net/wangjin7356/article/details/122525900"target="_blank" rel="noopener noreferrer">BUUCTF:大流量分析(一)</a></p> <p> <div class="post-img-view"> <a data-fancybox="gallery" href="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228192827137.png"> <img src="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228192827137.png" alt="在这里插入图片描述" loading="lazy" /> </a> </div></p> <h3 id="题目描述">题目描述:</h3> <p>某黑客对A公司发动了攻击,以下是一段时间内我们获取到的流量包,那黑客的攻击ip是多少?(答案加上flag{})附件链接: <a href="https://pan.baidu.com/s/1EgLI37y6m9btzwIWZYDL9g"target="_blank" rel="noopener noreferrer">https://pan.baidu.com/s/1EgLI37y6m9btzwIWZYDL9g</a> 提取码: 9jva 注意:得到的 flag 请包上 flag{} 提交</p>

BUUCTF: https://buuoj.cn/challenges

相关阅读 CTF Wiki BUUCTF:大流量分析(一)

在这里插入图片描述

题目描述:

某黑客对A公司发动了攻击,以下是一段时间内我们获取到的流量包,那黑客的攻击ip是多少?(答案加上flag{})附件链接: https://pan.baidu.com/s/1EgLI37y6m9btzwIWZYDL9g 提取码: 9jva 注意:得到的 flag 请包上 flag{} 提交

密文:

下载附件,有很多pcap流量包

在这里插入图片描述

解题思路:

1、随便打开一个,一般黑客的攻击流量会很多,需要使用Wireshark统计功能。

先统计IP,统计 → IPv4 Statistics → All Addresses

在这里插入图片描述

将IP出现数量Count进行排序,发现除了 183.129.152.140 ,其它全部是内网IP。

常见内网IP段: 10.0.0.0 – 10.255.255.255 172.16.0.0 – 172.31.255.255 192.168.0.0 – 192.168.255.255

在这里插入图片描述

2、统计会话和端点,发现 183.129.152.140 的分组数,是除内网IP最多的。

在这里插入图片描述

会话

在这里插入图片描述

端点

在这里插入图片描述

最后,确认黑客的攻击ip是 183.129.152.140

flag:

1

flag{183.129.152.140}
]]> BUUCTF greatescape 1 https://yuexuan521.github.io/zh/posts/buuctf-greatescape-1/ Mon, 31 Mar 2025 08:30:00 +0000 https://yuexuan521.github.io/zh/posts/buuctf-greatescape-1/ <p> <div class="post-img-view"> <a data-fancybox="gallery" href="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228185851554.png"> <img src="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228185851554.png" alt="" loading="lazy" /> </a> </div></p> <p><strong>BUUCTF: <a href="https://buuoj.cn/challenges"target="_blank" rel="noopener noreferrer">https://buuoj.cn/challenges</a></strong></p> <hr> <p>相关阅读 <a href="https://ctf-wiki.org/"target="_blank" rel="noopener noreferrer">CTF Wiki</a> <a href="https://hello-ctf.com/HC_Start/"target="_blank" rel="noopener noreferrer">Hello CTF</a> <a href="https://ns.openctf.net/learn/"target="_blank" rel="noopener noreferrer">NewStar CTF</a> <a href="https://blog.csdn.net/weixin_66146598/article/details/125131129"target="_blank" rel="noopener noreferrer">[BUUCTF] greatescape解析</a> <a href="https://blog.51cto.com/u_16159500/6515299"target="_blank" rel="noopener noreferrer">BUUCTF:greatescape</a> <a href="https://blog.csdn.net/chinese_cabbage0/article/details/144456714"target="_blank" rel="noopener noreferrer">buuctf-greatescape题目解析</a></p>

BUUCTF: https://buuoj.cn/challenges

相关阅读 CTF Wiki Hello CTF NewStar CTF [BUUCTF] greatescape解析 BUUCTF:greatescape buuctf-greatescape题目解析

在这里插入图片描述

题目描述:

注意:得到的 flag 请包上 flag{} 提交

密文:

下载附件,解压得到 greatescape.pcap

在这里插入图片描述

解题思路:

1、过滤常见协议,如FTP、HTTP。在FTP协议中,查看TCP流,发现ssc.key文件,猜测为TLS密钥文件。(位置在 tcp.stream eq 18

在这里插入图片描述

在这里插入图片描述

tcp.stream eq 19 ,可以找到ssc.key密钥文件数据,另存为ssc.key文件。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52

-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----

在这里插入图片描述

在这里插入图片描述

2、在Wireshark中,通过“编辑 > 首选项 > Protocols > TLS”,点击“Edit”后添加Key File并输入ssc.key,最后确认即可完成TLS协议解密。

在这里插入图片描述

使用如下过滤语句,即可得到flag: INS{OkThatWasWay2Easy}

1

http contains "FLAG"

在这里插入图片描述

flag:

1

flag{OkThatWasWay2Easy}
]]> BUUCTF [安洵杯 2019]Attack 1 https://yuexuan521.github.io/zh/posts/buuctf-%E5%AE%89%E6%B4%B5%E6%9D%AF-2019attack-1/ Mon, 30 Dec 2024 08:45:00 +0000 https://yuexuan521.github.io/zh/posts/buuctf-%E5%AE%89%E6%B4%B5%E6%9D%AF-2019attack-1/ <p> <div class="post-img-view"> <a data-fancybox="gallery" href="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228192325019.png"> <img src="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228192325019.png" alt="" loading="lazy" /> </a> </div></p> <p><strong>BUUCTF: <a href="https://buuoj.cn/challenges"target="_blank" rel="noopener noreferrer">https://buuoj.cn/challenges</a></strong></p> <hr> <p>相关阅读 <a href="https://ctf-wiki.org/"target="_blank" rel="noopener noreferrer">CTF Wiki</a> <a href="https://hello-ctf.com/HC_Start/"target="_blank" rel="noopener noreferrer">Hello CTF</a> <a href="https://ns.openctf.net/learn/"target="_blank" rel="noopener noreferrer">NewStar CTF</a> <a href="https://xz.aliyun.com/t/6911?time__1311=n4%2bxnD0DgDuAG=DOzNDsA3xCTWk8DcAgBmoD&amp;u_atoken=125653dce1d42cc643b337d1c883f99f&amp;u_asig=0a472f9017274948088853311e0043#toc-24"target="_blank" rel="noopener noreferrer">安洵杯2019 官方Writeup(Web/Misc) - D0g3</a> <a href="https://blog.csdn.net/weixin_66146598/article/details/125129282"target="_blank" rel="noopener noreferrer">[安洵杯 2019]Attack (详细解析)</a></p>

BUUCTF: https://buuoj.cn/challenges

相关阅读 CTF Wiki Hello CTF NewStar CTF 安洵杯2019 官方Writeup(Web/Misc) - D0g3 [安洵杯 2019]Attack (详细解析)

在这里插入图片描述

题目描述:

得到的 flag 请包上 flag{} 提交。

密文:

下载附件解压,得到Attack.pcap文件

在这里插入图片描述

解题思路:

1、打开流量包,根据题目提示,寻找攻击流量。首先,发现攻击者进行了目录扫描,在靠后位置发现上传一句话木马

目录扫描

在这里插入图片描述

上传一句话木马

在这里插入图片描述

在这里插入图片描述

往下分析,发现一组TCP流量疑似执行命令,请求流量经过base64混淆,返回流量使用ROT13加密

在这里插入图片描述

继续分析其他TCP流,发现目录下多出一个s3cret.zip文件。(据说,可以通过文件大小异常,推测文件中包含其他文件,使用foremost分离文件)

在这里插入图片描述

在这里插入图片描述

在下一组流量中,找到zip压缩包的“PK”文件头,以及一个flag.txt文件

在这里插入图片描述

2、将以“50 4B 03 04”开头的zip文件数据,拿出来保存为zip文件

在这里插入图片描述

在这里插入图片描述

尝试解压,发现需要密码。根据压缩包hint提示,密码可能与administrator用户有关

在这里插入图片描述

继续分析流量,发现使用了procdump.exe这个工具,产生lsass.dmp文件

Procdump工具一般用来抓取windows的lsass进程中的用户明文密码 lsass是windows系统的一个进程,用于本地安全和登陆策略。

在这里插入图片描述

接下来,攻击者下载了lsass.dmp文件

在这里插入图片描述

我们将lsass.dmp文件下载下来

在这里插入图片描述

Mimikatz 是一款功能强大的轻量级调试神器,通过它你可以提升进程权限注入进程读取进程内存,当然他最大的亮点就是他可以直接从 lsass.exe 进程中获取当前登录系统用户名的密码, lsass是微软Windows系统的安全机制它主要用于本地安全和登陆策略,通常我们在登陆系统时输入密码之后,密码便会储存在 lsass内存中,经过其 wdigest 和 tspkg 两个模块调用后,对其使用可逆的算法进行加密并存储在内存之中, 而 mimikatz 正是通过对lsass逆算获取到明文密码!也就是说只要你不重启电脑,就可以通过他获取到登陆密码,只限当前登陆系统!

使用mimikatz获得该文件中administrator的密码,得到 W3lc0meToD0g3 mimikatz下载地址: https://github.com/gentilkiwi/mimikatz/

1
2
3
4

将lsass.dmp文件放到mimikatz.exe下目录
privilege::debug
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords full

在这里插入图片描述

3、使用密码解压压缩包,得到flag.txt文件。(flag在文件底部,向下翻翻)

在这里插入图片描述

flag:

1
2

D0g3{3466b11de8894198af3636c5bd1efce2}
flag{3466b11de8894198af3636c5bd1efce2}
]]> BUUCTF [SUCTF2018]followme 1 https://yuexuan521.github.io/zh/posts/buuctf-suctf2018followme-1/ Mon, 16 Dec 2024 09:00:00 +0000 https://yuexuan521.github.io/zh/posts/buuctf-suctf2018followme-1/ <p> <div class="post-img-view"> <a data-fancybox="gallery" href="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228191840322.png"> <img src="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228191840322.png" alt="" loading="lazy" /> </a> </div></p> <p><strong>BUUCTF: <a href="https://buuoj.cn/challenges"target="_blank" rel="noopener noreferrer">https://buuoj.cn/challenges</a></strong></p> <hr> <p>相关阅读 <a href="https://ctf-wiki.org/"target="_blank" rel="noopener noreferrer">CTF Wiki</a> <a href="https://hello-ctf.com/HC_Start/"target="_blank" rel="noopener noreferrer">Hello CTF</a> <a href="https://ns.openctf.net/learn/"target="_blank" rel="noopener noreferrer">NewStar CTF</a></p> <p> <div class="post-img-view"> <a data-fancybox="gallery" href="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228191842332.png"> <img src="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228191842332.png" alt="在这里插入图片描述" loading="lazy" /> </a> </div></p> <h3 id="题目描述">题目描述:</h3> <p>得到的 flag 请包上 flag{} 提交。来源: <a href="https://github.com/hebtuerror404/CTF_competition_warehouse_2018"target="_blank" rel="noopener noreferrer">https://github.com/hebtuerror404/CTF_competition_warehouse_2018</a></p> <h3 id="密文">密文:</h3> <p>下载附件得到attachment.pcapng文件</p> <p> <div class="post-img-view"> <a data-fancybox="gallery" href="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228191844026.png"> <img src="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228191844026.png" alt="在这里插入图片描述" loading="lazy" /> </a> </div></p> <hr> <h3 id="解题思路">解题思路:</h3> <p>1、有两种方法,先讲讲我的解题经过。我首先简单浏览了一下流量,发现有大量HTTP流量,并且似乎存在爆破行为。过滤出HTTP流量,查看到爆破密码的步骤,随便看一个就捡到了flag。</p>

BUUCTF: https://buuoj.cn/challenges

相关阅读 CTF Wiki Hello CTF NewStar CTF

在这里插入图片描述

题目描述:

得到的 flag 请包上 flag{} 提交。来源: https://github.com/hebtuerror404/CTF_competition_warehouse_2018

密文:

下载附件得到attachment.pcapng文件

在这里插入图片描述

解题思路:

1、有两种方法,先讲讲我的解题经过。我首先简单浏览了一下流量,发现有大量HTTP流量,并且似乎存在爆破行为。过滤出HTTP流量,查看到爆破密码的步骤,随便看一个就捡到了flag。

在这里插入图片描述

方法一:

使用Wireshark,在分组字节流中查找包含 ctf 的内容,可以找到flag

在这里插入图片描述

方法二:

将全部HTTP对象导出

在这里插入图片描述

发现大量的文件如下:

在这里插入图片描述

搜索文件中的关键词,使用grep命令,查找到flag

1

grep -r -i  "ctf"

在这里插入图片描述

flag:

1
2

SUCTF{password_is_not_weak}
flag{password_is_not_weak}
]]> BUUCTF 百里挑一 1 https://yuexuan521.github.io/zh/posts/buuctf-%E7%99%BE%E9%87%8C%E6%8C%91%E4%B8%80-1/ Mon, 16 Dec 2024 07:30:00 +0000 https://yuexuan521.github.io/zh/posts/buuctf-%E7%99%BE%E9%87%8C%E6%8C%91%E4%B8%80-1/ <p> <div class="post-img-view"> <a data-fancybox="gallery" href="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228193134440.png"> <img src="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228193134440.png" alt="" loading="lazy" /> </a> </div></p> <p><strong>BUUCTF: <a href="https://buuoj.cn/challenges"target="_blank" rel="noopener noreferrer">https://buuoj.cn/challenges</a></strong></p> <hr> <p>相关阅读 <a href="https://ctf-wiki.org/"target="_blank" rel="noopener noreferrer">CTF Wiki</a> <a href="https://hello-ctf.com/HC_Start/"target="_blank" rel="noopener noreferrer">Hello CTF</a> <a href="https://ns.openctf.net/learn/"target="_blank" rel="noopener noreferrer">NewStar CTF</a></p> <p> <div class="post-img-view"> <a data-fancybox="gallery" href="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228193136490.png"> <img src="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228193136490.png" alt="在这里插入图片描述" loading="lazy" /> </a> </div></p> <h3 id="题目描述">题目描述:</h3> <p>好多漂亮的壁纸,赶快挑一张吧! 注意:得到的 flag 请包上 flag{} 提交</p> <h3 id="密文">密文:</h3> <p>下载附件解压,得到pacap流量文件</p> <p> <div class="post-img-view"> <a data-fancybox="gallery" href="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228193138130.png"> <img src="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228193138130.png" alt="在这里插入图片描述" loading="lazy" /> </a> </div></p> <hr> <h3 id="解题思路">解题思路:</h3> <p>1、双击打开文件,简单浏览发现存在大量的图片,将全部图片导出分析</p>

BUUCTF: https://buuoj.cn/challenges

相关阅读 CTF Wiki Hello CTF NewStar CTF

在这里插入图片描述

题目描述:

好多漂亮的壁纸,赶快挑一张吧! 注意:得到的 flag 请包上 flag{} 提交

密文:

下载附件解压,得到pacap流量文件

在这里插入图片描述

解题思路:

1、双击打开文件,简单浏览发现存在大量的图片,将全部图片导出分析

在这里插入图片描述

得到的图片如下:

请添加图片描述

请添加图片描述

请添加图片描述

请添加图片描述

请添加图片描述

在这里插入图片描述

简单看了几张,没有什么有用的信息

2、使用Kali上的exiftool工具,批量分析图片,寻找flag

ExifTool是一款免费开源的图像信息查看工具,一个命令行应用程序。可用于读写和编辑图像(主要)、音视频和PDF等文件的元数据(metadata)。元数据是由一系列参数(下文为了与命令行参数做区别将称为标签)组成,如快门速度、光圈、白平衡、相机品牌和型号、镜头、焦距等等。而ExifTool可以帮助用户读取和处理这些数据, 支持许多不同的元数据格式,包括 EXIF,GPS,IPTC,XMP,JFIF,GeoTIFF,ICC 配置文件等等。支持多种输出格式设置选项(包括制表符分隔,HTML,XML 和 JSON),还可以多语言输出(cs,de,en,en-ca,en-gb,es,fi,fr,it,ja,ko,nl,pl,ru,sv,tr,zh-cn 或 zh-tw)。可以读取和写入许多数码相机的制造商说明。

得到一半的flag, flag{ae58d0408e26e8f

1

exiftool * | grep flag

在这里插入图片描述

这一步可以使用其他的方法,按字符串分组字节流方式查找flag,也可以找到前半部分flag。

在这里插入图片描述

3、经过以上的解题过程,猜测接下来的后半部分flag,也与exif信息有关。

EXIF信息,是可交换图像文件的缩写,是专门为数码相机的照片设定的,可以记录数码照片的属性信息和拍摄数据。EXIF可以附加于JPEG、TIFF、RIFF等文件之中,为其增加有关数码相机拍摄信息的内容和索引图或图像处理软件的版本信息。

回到Wireshark,查找exif字符,追踪TCP流,就可以找到后半部分flag。

在这里插入图片描述

在这里插入图片描述

flag:

1

flag{ae58d0408e26e8f26a3c0589d23edeec}
]]> BUUCTF 被嗅探的流量 1 https://yuexuan521.github.io/zh/posts/buuctf-%E8%A2%AB%E5%97%85%E6%8E%A2%E7%9A%84%E6%B5%81%E9%87%8F-1/ Tue, 24 Sep 2024 22:49:00 +0000 https://yuexuan521.github.io/zh/posts/buuctf-%E8%A2%AB%E5%97%85%E6%8E%A2%E7%9A%84%E6%B5%81%E9%87%8F-1/ <p> <div class="post-img-view"> <a data-fancybox="gallery" href="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228193502458.png"> <img src="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228193502458.png" alt="" loading="lazy" /> </a> </div></p> <p><strong>BUUCTF: <a href="https://buuoj.cn/challenges"target="_blank" rel="noopener noreferrer">https://buuoj.cn/challenges</a></strong></p> <hr> <p>相关阅读 <a href="https://ctf-wiki.org/"target="_blank" rel="noopener noreferrer">CTF Wiki</a></p> <p> <div class="post-img-view"> <a data-fancybox="gallery" href="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228193504562.png"> <img src="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228193504562.png" alt="在这里插入图片描述" loading="lazy" /> </a> </div></p> <h3 id="题目描述">题目描述:</h3> <p>某黑客潜入到某公司内网通过嗅探抓取了一段文件传输的数据,该数据也被该公司截获,你能帮该公司分析他抓取的到底是什么文件的数据吗?</p>

BUUCTF: https://buuoj.cn/challenges

相关阅读 CTF Wiki

在这里插入图片描述

题目描述:

某黑客潜入到某公司内网通过嗅探抓取了一段文件传输的数据,该数据也被该公司截获,你能帮该公司分析他抓取的到底是什么文件的数据吗?

密文:

下载附件,解压得到一个.pcapng文件。

在这里插入图片描述

解题思路:

1、双击.pcapng文件,在Wireshark中打开,开始分析流量。我首先大致浏览了一下流量,发现HTTP协议的流量有上传文件的痕迹。(upload上传)

在这里插入图片描述

2、通过在顶部过滤器输入“http”语句,将HTTP流量过滤出来。(也可以使用“http.request.method==POST”语句实现更精确的过滤)

在这里插入图片描述

3、我是将每一条上传的流量都追踪HTTP流,最后找到有flag的报文。其实,可以查看流量的提示信息更快的定位目标流量。

在这里插入图片描述

4、在这条流量的提示信息中,我们看到包含JPEG图像,追踪这条流量的HTTP流,看到很多的数据,在数据的最下面找到flag。

在这里插入图片描述

在这里插入图片描述

flag:

1

flag{da73d88936010da1eeeb36e945ec4b97}
]]> BUUCTF 被劫持的神秘礼物 1 https://yuexuan521.github.io/zh/posts/buuctf-%E8%A2%AB%E5%8A%AB%E6%8C%81%E7%9A%84%E7%A5%9E%E7%A7%98%E7%A4%BC%E7%89%A9-1/ Mon, 23 Sep 2024 22:49:54 +0000 https://yuexuan521.github.io/zh/posts/buuctf-%E8%A2%AB%E5%8A%AB%E6%8C%81%E7%9A%84%E7%A5%9E%E7%A7%98%E7%A4%BC%E7%89%A9-1/ <p> <div class="post-img-view"> <a data-fancybox="gallery" href="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228193448672.png"> <img src="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228193448672.png" alt="" loading="lazy" /> </a> </div></p> <p><strong>BUUCTF: <a href="https://buuoj.cn/challenges"target="_blank" rel="noopener noreferrer">https://buuoj.cn/challenges</a></strong></p> <hr> <p>相关阅读 <a href="https://ctf-wiki.org/"target="_blank" rel="noopener noreferrer">CTF Wiki</a></p> <p> <div class="post-img-view"> <a data-fancybox="gallery" href="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228193450784.png"> <img src="https://cdn.jsdelivr.net/gh/yuexuan521/image/20251228193450784.png" alt="在这里插入图片描述" loading="lazy" /> </a> </div></p> <h3 id="题目描述">题目描述:</h3> <p>某天小明收到了一件很特别的礼物,有奇怪的后缀,奇怪的名字和格式。小明找到了知心姐姐度娘,度娘好像知道这是啥,但是度娘也不知道里面是啥。。。你帮帮小明?找到帐号密码,串在一起,用32位小写MD5哈希一下得到的就是答案。 链接: <a href="https://pan.baidu.com/s/1pwVVpA5_WWY8Og6dhCcWRw"target="_blank" rel="noopener noreferrer">https://pan.baidu.com/s/1pwVVpA5_WWY8Og6dhCcWRw</a> 提取码: 31vk</p>

BUUCTF: https://buuoj.cn/challenges

相关阅读 CTF Wiki

在这里插入图片描述

题目描述:

某天小明收到了一件很特别的礼物,有奇怪的后缀,奇怪的名字和格式。小明找到了知心姐姐度娘,度娘好像知道这是啥,但是度娘也不知道里面是啥。。。你帮帮小明?找到帐号密码,串在一起,用32位小写MD5哈希一下得到的就是答案。 链接: https://pan.baidu.com/s/1pwVVpA5_WWY8Og6dhCcWRw 提取码: 31vk

密文:

下载附件,得到一个名为gift.pcapng的wireshark流量包。

在这里插入图片描述

解题思路:

1、双击gift.pcapng文件,进入Wireshark中。

在这里插入图片描述

题目要求找到帐号密码,我们先将HTTP流量过滤出来看一下。

在这里插入图片描述

看到一个POST方法和两个GET方法,直奔POST方法的那条流量,追踪它的HTTP流,找到账号和密码。

在这里插入图片描述 

1

name=admina&word=adminb

2、将帐号密码串在一起,使用在线网站对字符串进行32位小写MD5哈希加密,得到flag值。 MD5加密解密工具

在这里插入图片描述

flag:

1

flag{1d240aafe21a86afc11f38a45b541a49}
]]>