专栏首页漏斗社区CTF| 吃个鸡,一起破流量分析题吧!

CTF| 吃个鸡,一起破流量分析题吧!

流量分析题是CTF杂项类常见的一种考点,考察我们分析网络流量包的能力。一般flag隐藏在某个数据包里面,或者需要从中提取一个文件出来等等,还有wifi的握手包,需要获取wifi密码等。

一、Wireshark的使用姿势

1.1 过滤报文

wirkshark的过滤器和过滤规则能够帮助我们迅速定位到要分析的报文。下面列举几种比较常见的过滤数据包的语法,具体的还请百度。

1.过滤IP,如源IP或者目标 x.x.x.x

ip.src eq x.x.x.x or ip.dst eq x.x.x.x 或者 ip.addr eq x.x.x.x

2.过滤端口

tcp.port eq 80 or udp.port eq 80

tcp.dstport == 80 只显tcp协议的目标端口为80

tcp.srcport == 80 只显tcp协议的源端口为80

tcp.port >= 1 and tcp.port <= 80

3.过滤协议

tcp/udp/arp/icmp/http/ftp/dns/ip……

4.过滤MAC

eth.dst == A0:00:00:04:C5:84 过滤目标mac

5.包长度过滤

udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和 。

tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身

ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后

frame.len == 119 整个数据包长度,从eth开始到最后

6.http模式过滤

http.request.method == "GET"

http.request.method == "POST"

http.request.uri == "/img/logo-edu.gif"

ttp contains "GET"

ttp contains "HTTP/1."

ttp.request.method == "GET" && http contains "User-Agent:"

1.2 协议分析

在statistics下选择protocol hierarchy,可以查看当前数据包中包含哪些协议。

将所有选项都展开,通常我们关注HTTP协议的内容,其他明文的TCP协议或UDP协议内容也有可能需要关注。

在我们关注的协议上右键点击apply as filter -> selected,可以过滤出需要的协议类型。

同样的方法也可以用来选择想要的数据包特征,比如想筛选http post请求数据包,可打开一个http post请求包,点击到post请求方式,右键apply as filter -> selected。

1.3 流汇聚

在关注的http数据包或tcp数据包中选择流汇聚,可以将HTTP流或TCP流汇聚或还原成数据,在弹出的框中可以看到数据内容。

HTTP流:

常见的HTTP流关键内容:

1、HTML中直接包含重要信息

2、上传或下载文件内容,通常包含文件名、hash值等关键信息,常用POST请求上传。

3、一句话木马,POST请求,内容包含eval,内容使用base64加密

TCP流:

通常是命令行操作。

1.4 数据提取

使用wireshark可以自动提取通过http传输的文件内容,方法如下:

file->export objects->http

在打开的对象列表中找到有价值的文件,如压缩文件、文本文件、音频文件、图片等,点击saveas进行保存,或者saveall保存所有对象再进入文件夹进行分析。

有时候自动提取得不到想要的结果时,也可以使用wireshark也可以手动提取文件内容:

点击想要的数据包,选定media type的位置,点击file->export selected Packet Bytes,在弹出的框中将文件保存成二进制文件。

二、无线密码破解

有时候我们打开一个文件,里面只有wireless LAN 协议,很有可能是WPA或WEP加密后的无线数据包。

使用aircrack-ng应用程序可以进行解密。

1、首先是命令行模式的教程,将目标加密包复制到aircrack-ng文件夹下

(1) 用aircrack-ng检查cap包:

aircrack-ng.exe shipin.cap

可见这里是wpa加密,并且bssid:00:1D:0F:5D:D0:EE,essid:0719

(2)使用弱口令字典破解wpa加密

aircrack-ng.exe shipin.cap -w wordlist.txt

这里wordlist.txt是弱口令字典,包含了常见的路由器密码,可以网上下载到,也可以自动生成。

可见破解到的密码是88888888。

(3)用密码解密cap 这里用到airdecap-ng解密cap报文,使用到了刚才的essid和破解的密码 airdecap-ng.exe shipin.cap -e 0719 -p 88888888

于是在目录下生成一个shipin-dec.cap,使用wireshark打开

2、在windows环境下还有GUI版本的aircrack-ng (1)直接使用aircrack-ng破解密码 结果与命令行的(2)相同

(2)使用airdecap-ng解密cap报文 结果与命令行的(3)相同。

(3)wireshark查看解密报文shipin-dec.cap

相关CTF的题目:

http://www.shiyanbar.com/ctf/writeup/1451

本文分享自微信公众号 - 漏斗社区(newdooneSec),作者:reborn

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-11-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 工具| PowerShell的内网渗透之旅(二)

    漏斗社区
  • 专属| GitHub发布Python安全警告

    近日,GitHub宣布了Python安全警告,使Python用户可以访问依赖图,并在他们的库所依赖的包存在安全漏洞时收到警告。GitHub会根据MITRE的公共...

    漏斗社区
  • 专属| 加密货币挖矿攻击急剧上升

    据外媒报道,来自Check Point研究团队的《2018年9月全球威胁指数》数据显示,针对iOS设备以及使用Safari浏览器设备的加密挖矿恶意软件数量出现了...

    漏斗社区
  • python创造矩阵

    data1=mat(zeros((3,3)));               #创建一个3*3的零矩阵,矩阵这里zeros函数的参数是一个tuple类型(3,3...

    py3study
  • Python实现腾讯云CDB备份文件自动上传到COS

    KaliArch
  • 【LTE指标监控分析工具】

    日常优化中,指标监控是确保网络正常运行不可或缺的第一步骤。LTE网络,而造成LTE网络关键指标波动的主要原因有小区用户突增、LTE小区突发干扰、高负荷几个方面,...

    用户6184845
  • 区块链携手人工智能,那将……

    区块链大本营
  • 区块链与共享经济

    共享经济的本质——整合线下的闲散物品或服务者,让他们以较低的价格提供产品或服务。对于供给方来说,通过在特定时间内让渡物品的使用权或提供服务,来获得一定的金钱回...

    广州闪链科技
  • mysql UNIX时间戳与日期的相互转换

    UNIX时间戳转换为日期用函数: FROM_UNIXTIME() select FROM_UNIXTIME(1156219870); 日期转换为UN...

    joshua317
  • UNIX 环境高级编程(第3版 )

    《UNIX环境高级编程(第3版)》是被誉为UNIX编程“圣经”的Advanced Programming in the UNIX Environment一书的第...

    用户3157710

扫码关注云+社区

领取腾讯云代金券