夜樱

CTF中的流量分析&流量异常引起对网络工程师的一些思考
前言很久没做CTF的题了,WEB上许多思路卡死难进,pwn和逆向又是重难点,乍一眼瞄了下Misc看到有流量分析题,...
扫描右侧二维码阅读全文
05
2019/04

CTF中的流量分析&流量异常引起对网络工程师的一些思考

前言

很久没做CTF的题了,WEB上许多思路卡死难进,pwn和逆向又是重难点,乍一眼瞄了下Misc看到有流量分析题,作为一个网络专业的怎么能不会流量分析呢(其实我还真不会),看着别人write up如此有趣的流量分析,最终使我渐渐上瘾,以后的CTF流量分析题目都集中在这吧。在做这种流量分析题,最好掌握网络知识和WEB上一些协议有助于理解。

可恶的黑客

今天刚好看到这个题目名,蛮有意思就去写了,之前也看了很多聚聚关于流量分析的write up,总结了一些流量分析的方法.这种题真的算基础题了说真的。(学习不够.jpg)

start!
照常是个pcapng文件,上去就是个wireshark打开看看

可恶的黑客1.png

可以看到传输协议有HTTP,TCP,再能看到upload,GET&POST请求,确认为web上的传输,追踪HTTP流(HTTP stream)

可恶的黑客2.jpg

追踪HTTP流后可以看到,有了一堆Base家族为其加密的一段密文,可以看到是Base64加密的密文,尝试丢出去解密,一个个尝试解密对等号后面的重点关注uwu,合并解密可能会出现一些错误无法解密(不明白)
base解密.png
base解密1.jpg
jiaoyi.jpg

看到了上传的操作文件。。
可以看出是传了webshell然后进行文件操作
好像也跟答案没啥关系,继续看看其他的请求追踪

可恶的黑客3.jpg

这边看到了一些不寻常的文字,看到了线索为"hnt.txt"
搜寻这个文件http contains "hnt.txt"
信息量迅速减少很快就发了下一个线索

可恶的黑客4.jpg

Unicode编码,拿去解密就出答案了

另一种思路!:学过一点node.js后对文件请求和HTTP请求稍微会比较了解,那么就用前端的一些想法试着解题,先追踪HTTP流,解密后发现路径后面有一个txt文件,重新审计流量包排序后发现有个text/plain反馈上,这是web服务器获取到txt文件后将文件设置为纯文本的形式,浏览器在获取到这种文件时并不会对其进行处理,所以更能够快速去得到答案在这题上。

中国菜刀

方法一:挺简单的一道题,中国菜刀的话毫不犹豫就是上传个webshell到服务器上,所以直接看看HTTP协议的数据包

藏着东西的流量包.jpg

看到一个flag的压缩包,试着去用binwalk检查下

china菜刀.jpg

发现存在pcapng文件下有个压缩包,直接分离得到flag.txt答案

方法二:HTTP协议下发现被base64加密的HTTP传输,拉出去解密发现是一句话木马,再看看HTTP完成的200请求后,发现line-based text data下是异常的,单独显示 显示分组字节后尝试解码,解码选择压缩即可得出答案

caidao.jpg

手机热点

热点.jpg

这道题应该是秒解的,手机热点题目已经告诉了热点下传输了一些东西,数据包的分析上已经告诉了这是一个通过bluetooth传输的TCP协议,嗯bluetooth,那就是蓝牙啊,看了蓝牙协议这里使用了OBEX协议筛选后很明显发现Info的显示上出现了rar压缩的字样,binwalk分离出来得到了最终答案。
热点2.jpg

热点1.jpg

个人积累

4/4 这几天下来的感觉,在做流量包分析题首先要对计算机网络知识有一定的认知,OSI七层模型和TCP/IP模型熟悉掌握会对流量分析很大的帮助,题目看下来最基础的是对HTTP和TCP/IP理论知识的掌握,弄明白HTTP做了些什么发送了什么,在TCP/IP上考察了TCP/IP三次握手的步骤从什么地方开始,在什么地方结束握手,如何看出在建立握手请求,在掌握了理论知识后就是对一些工具的熟悉和使用,这里我用的是wireshark来捕获数据包,wireshark强大之处在于可以将HTTP,TCP,UDP,TLS的流量回溯显示数据包恢复出内容,还有对所有请求的情况进行分析看请求占比确定哪些异常还有很多很多还没学到的,在流量分析hacker用流量包绕过防火墙的检查最常见就是dns伪装绕过

4/7学习了下wireshark的使用方式,可以用I/O视图窗口使数据以更好地方式显示分析,在专家分析下可以更好地分析出在请求中异常的问题从而快速的查找问题的的流量包,wireshark下还有一个tshark命令行的工具比wireshark更强大可惜现在还不会用

简单的思考

网络的中的服务应用,离不开网络数据通信连接基层支持,在我们平常不容易看到的传输数据流量中其实暗藏了许多有意思的东西,当我们在没有任何不良的上网行为却又遭受到了来自网络上的攻击而我们却感受不到一丝丝的实体感觉,奇妙的一瞬间就中了对面的一招打击,在学习网络中应该对其OSI模型中的协议有一个深刻的了解,当了解完协议后再去进行数据包的行为分析你会发现网络世界竟然如此的有趣,而网络工程师应更应当掌握这些在未来的网络中打好网络攻坚战

Last modification:April 8th, 2019 at 04:31 pm
If you think my article is useful to you, please feel free to appreciate

Leave a Comment