杂项之流量分析

这两天做了几题流量分析,这脑洞大的,让人头皮发麻。。。

这次的题目出自蓝鲸安全,是一个很棒的平台,有题库有视频教程,值得我安利一下。
题目链接:http://whalectf.xin/challenges
视频链接:http://www.whaledu.com/course/explore/NS01

流量分析

下载一个抓包文件,点击统计选项的协议分级,可以看到HTTP的流量占了很多,其中传输了图片、媒体文件和gif动图等。
fenji.jpg
根据直觉,给了这么多图片,所以东西应该不会藏在图片中;再者还有,题目给了一个压缩包,解压出来是抓包文件,但是文件很小,没必要压缩,而且其他题目好几兆的文件都没压缩。根据这两个猜想,觉得压缩包有点猫腻,浏览一遍HTTP数据后,发现最后面有一个压缩包。bingo,选择http的数据部分,导出分组字节流,保存为.zip文件。
压缩包解压出来发现是一个空word,本以为是隐藏了字符,看了一下发现确实什么都没有。但是文档名字是“情报”,所以我觉得东西肯定在这里,这时候脑洞大开,打开详细信息看一下,发现flag在备注里面,这可真是太秀了!!!还好最近买了点核桃补补脑子,不然都跟不上节奏了。

A记录

打开抓包文件,提示捕获文件在中间被剪断,剩下的包都是wifi协议的包。搜索EAPol,发现有3个包,拿去工具上解出密码,用kali自带的Aircrack-ng查看一下信息。
xinxi.JPG
加密方式为WAP,ESSID为0719。
接下来爆破密码,用字典工具生成一个字典,跑出来密码为8个8,命令是:aircrack-ng shipin.cap -w passwd.txt。
接下来用获得的密码和ESSID来还原被加密的数据包,命令是:airdecap-ng shipin.cap -e 0719 -p 88888888.
命令执行完成后,有16个包被解密出来,这就是原始的数据包。
jiemi.JPG
题目说第一条A记录,那就过滤出DNS包,第二个包就是A记录的包,追踪UDP流,获得flag。

Password

打开文件,有95个TCP文件,其中包含PSH和ACK位置1的包,PSH功能是快速推送数据至应用层,所以这题的密码应该是用TCP的PSH位来传输的。追踪TCP流,获得关键信息。
tcp.JPG
这里有密码输入界面,不过下面提示密码错误。。。。瞬间尬住-,但是信息又只可能在这里,所以继续对这个流进行操作,这里的数据是编码成ASCII码显示,而密码中包含好多个点,个人觉得有猫腻,用十六进制打开,发现点对应的十六进制居然是7F。
hex.JPG
讲道理应该没那么大才对,算了一下7F是127,看了下ASCII表,127是DEL,就是删除键,果然,将点换成删除,输入,正确!

------ 本文结束感谢您的阅读 ------
坚持原创技术分享,您的支持将鼓励我继续创作!