流量分析---基础篇
本文相关流量包和工具:https://gitee.com/he-shiqiang03/ctf_file-and-_tools
1.flag明文
通过设置分组字节流和ctrl+f将搜索对象改为字符串 ----->输入flag持续查找,这种明文一般出现在简单题中,如果没有那么可能是将flag编码为其他的形式,比如:16进制编码 或者其他编码(unnicode)
2.flag其他类型编码
flag的16进制编码为:666C6167 将flag->字符型
![CTF[MISC]入门------流量分析(一)_php](http://dev-img.mos.moduyun.com/20231026/5c59a0c5-f4b4-46c2-a3d2-55014adfd441.png)
其他类型编码: https://www.toolhelper.cn/EncodeDecode/EncodeDecode
懒人方法: 利用已经做好的脚本工具
# encoding:utf-8
import os
import os.path
import sys
import subprocess
#打印可打印字符串
def str_re(str1):
str2=""
for i in str1.decode('utf8','ignore'):
try:
#print(ord(i))
if ord(i) <= 126 and ord(i) >= 33:
str2 += i
except:
str2 += ""
#print(str2)
return str2
#写入文本函数
def txt_wt(name,txt1):
with open("output.txt","a") as f:
f.write('filename:'+name)
f.write("\n")
f.write('flag:'+txt1)
f.write("\n")
#第一次运行,清空output文件
def clear_txt():
with open("output.txt","w") as f:
print ("clear output.txt!!!")
# 递归遍历的所有文件
def file_bianli():
# 路径设置为当前目录
path = os.getcwd()
# 返回文件下的所有文件列表
file_list = []
for i, j, k in os.walk(path):
for dd in k:
if ".py" not in dd and "output.txt" not in dd:
file_list.append(os.path.join(i, dd))
return file_list
#查找文件中可能为flag的字符串
def flag(file_list,flag):
for i in file_list:
try:
with open(i,"rb") as f:
for j in f.readlines():
j1=str_re(j)#可打印字符串
#print j1
for k in flag:
if k in j1:
txt_wt(i, j1)
print ('filename:',i)
print ('flag:',j1)
except:
print ('err')
flag_txt = ['flag{', '666c6167','flag','Zmxh','f', '666C6167']
#清空输出的文本文件
clear_txt()
#遍历文件名
file_lt=file_bianli()
#查找flag关键字
flag(file_lt,flag_txt)将上述代码放到流量包同目录下,进行流量分析,输出一个output.txt,flag明文和非明文搜索都在里面,搜索之后可能会有php等仍然需要进行进一步的解码
3.压缩包
3.1菜刀流量
对于这种压缩包类的,在流量题中肯定是放到了流量包里面,整体的思路去找压缩包,再将压缩包数据导出来,修改后缀再解压。
点开caidao.pcapng 我们查询http,很明显发现text
![CTF[MISC]入门------流量分析(一)_流量分析_02](http://dev-img.mos.moduyun.com/20231026/fe18ffeb-56c7-489a-b622-f2aed8c449e8.png)
点击第一个请求,然后右键进行流量跟踪选择tcp,选择查看数据里面发现有个flag.tar.gz压缩包,但是没有找到他的数据。
![CTF[MISC]入门------流量分析(一)_流量分析_03](http://dev-img.mos.moduyun.com/20231026/4f6a0643-d798-4cb3-9540-e57b702da66d.png)
![CTF[MISC]入门------流量分析(一)_php_04](http://dev-img.mos.moduyun.com/20231026/a2e2e77c-ac36-4ff3-8b0f-48fff2c812bd.png)
点击第二text发现了,如下php代码:
![CTF[MISC]入门------流量分析(一)_压缩包_05](http://dev-img.mos.moduyun.com/20231026/d9f7f391-07f0-45e2-936f-8e92bb51f72b.png)
很明显是上传了一个flag.tar.gz的压缩包,那么如何查找到这个压缩包呢,我们是通过先查找到第一个http,再进行tcp跟踪,查找到第二个流
![CTF[MISC]入门------流量分析(一)_misc_06](http://dev-img.mos.moduyun.com/20231026/21cbbfd8-8831-49b3-8289-f4914f672d40.png)
然后找到text/html翻动中间的数据
![CTF[MISC]入门------流量分析(一)_php_07](http://dev-img.mos.moduyun.com/20231026/5f6f5ebb-b09f-43cc-9b17-22f173686a16.png)
![CTF[MISC]入门------流量分析(一)_流量分析_08](http://dev-img.mos.moduyun.com/20231026/9c7e6841-abd3-455a-a522-1c57ede1f0e0.png)
然后在下面开始的位置设置为3,去掉前面的三个标志位,选择解码方式为压缩
![CTF[MISC]入门------流量分析(一)_php_09](http://dev-img.mos.moduyun.com/20231026/51f52948-b65b-479b-9e0c-a3b3d5a409c7.png)
然后就出现flag
![CTF[MISC]入门------流量分析(一)_数据_10](http://dev-img.mos.moduyun.com/20231026/fd4102e0-4adb-48b9-9e13-9dc664a9bff7.png)
key{8769fe393f2b998fa6a11afe2bfcd65e}
3.2 test.pcap
首先查找flag,没有查到flag关键词。
那么接着就是查一下http流
![CTF[MISC]入门------流量分析(一)_misc_11](http://dev-img.mos.moduyun.com/20231026/b8ce2f9e-65c4-4f6a-a11a-6d2c38570a26.png)
点击第一个http,进行tcp流追踪
![CTF[MISC]入门------流量分析(一)_php_12](http://dev-img.mos.moduyun.com/20231026/a8e421ad-1979-4e2c-be7d-bf5f75f0a46a.png)
第一个流
![CTF[MISC]入门------流量分析(一)_流量分析_13](http://dev-img.mos.moduyun.com/20231026/280930da-638c-4257-94b5-9467b53fd6c1.png)
对里面的码进行url解码和base64解码,发现为
Data is not a valid byteArray: [257,1,165,185,165,125...
没啥用,那么就来到第二个流
![CTF[MISC]入门------流量分析(一)_php_14](http://dev-img.mos.moduyun.com/20231026/91b1ae68-31dd-4d71-9224-595e54551b5f.png)
这个流能直观的发现是进行了linux指令的操作,ls展示目录,同时发现了x.tar.gz,那么我们就得去找他得数据。那么来到第三个流
![CTF[MISC]入门------流量分析(一)_php_15](http://dev-img.mos.moduyun.com/20231026/4e5bb8ff-3307-4841-bbc4-1f37fea6370e.png)
这个一样能看到这个php的一句话目马。那么就查找X@Y(标志位)
来到第四个流
![CTF[MISC]入门------流量分析(一)_misc_16](http://dev-img.mos.moduyun.com/20231026/c57aa1a7-0399-4610-876d-b29cad075551.png)
发现返回了一些数据,我们点击这个数据进行显示分组字节,进行压缩查看一下是不是有flag
![CTF[MISC]入门------流量分析(一)_misc_17](http://dev-img.mos.moduyun.com/20231026/43bce413-f5e8-46b5-b4db-cc5e0a973c0e.png)
![CTF[MISC]入门------流量分析(一)_数据_18](http://dev-img.mos.moduyun.com/20231026/fb1d6302-765c-44f3-8935-8853231065a9.png)
现在发现了前后都有->|的标识位,那么我们就要进行如下设置。
![CTF[MISC]入门------流量分析(一)_压缩包_19](http://dev-img.mos.moduyun.com/20231026/ec4977d0-aca4-438f-9277-b1c8c0ab8c4e.png)
![CTF[MISC]入门------流量分析(一)_php_20](http://dev-img.mos.moduyun.com/20231026/b1b331e5-b38e-4517-ac62-a5bcf574d051.png)
最后flag出现了
flag为ISG{China_Ch0pper_Is_A_Slick_Little_Webshe11}
4.菜刀流量-压缩包
点击liuliang.pcap,先初步进行预览一下有那些数据流,比如tcp,http,arp,ssh
我们的思路还是先对http进行筛选和查看一下http的请求次数(点击统计然后找到http选这请求次数)
![CTF[MISC]入门------流量分析(一)_流量分析_21](http://dev-img.mos.moduyun.com/20231026/f6522961-6acc-492a-bafd-b885ff39a5a0.png)
我们可以直观发现,test.php连接会话的次数比较多,那么我们接下来找test.php
找到后跟踪一下tcp流
![CTF[MISC]入门------流量分析(一)_misc_22](http://dev-img.mos.moduyun.com/20231026/6a19f866-d79e-4c5a-b862-ff69effe7ecd.png)
这个看到了->| 猜测是一个菜刀流量的php目马
![CTF[MISC]入门------流量分析(一)_php_23](http://dev-img.mos.moduyun.com/20231026/ab781309-d19b-4376-92eb-0c0b20b9fc78.png)
这里也就是做了文件目录的遍历,没有有用信息。对上面的url解码也没什么有用的信息。因为进行了14次会话,所有我们继续看后面的流。看到第五个流,会发现有很多16进制的数据,那么猜测这个就是传输的文件数据。
![CTF[MISC]入门------流量分析(一)_压缩包_24](http://dev-img.mos.moduyun.com/20231026/ac57c6c1-f9b1-4210-bc01-1b6d1d41e344.png)
我们可以将这段16进制数据拷贝下来放入Notepad++进行解码
![CTF[MISC]入门------流量分析(一)_流量分析_25](http://dev-img.mos.moduyun.com/20231026/f9e45434-025d-4824-8865-ea74bdebd994.png)
解码后发现数据开头为PK,PK为压缩包的标识,后面还发现了flag.docx,那么我们可以保存数据,将后缀名改为.zip,直接点开后就能打开flag.docx文件找到flag
![CTF[MISC]入门------流量分析(一)_压缩包_26](http://dev-img.mos.moduyun.com/20231026/483a7b9f-f21f-4779-826e-6af77499480c.png)
flag为2d6cb5b69212296f964dbc4f21171570
tips:本人为刚入门的小萌新,欢迎各位ctfer和师傅给点学习建议~