标签：int flag tcp dic CTF 流量 pcap 分析题

1.flag被盗了，pcap（gnnl）

尝试http过滤，get或者post追踪tcp流即可，这里是post，

flag{This_is_a_f10g}

2.这么多数据包找找吧，先找到getshell的流pcap（vn78）

过滤tcp

TCP流通常是命令行操作

Q0NURntkb195b3VfbGlrZV9zbmlmZmVyfQ==

解码：CCTF{do_you_like_sniffer}

3.有一天皓宝宝没了流量只好手机来共享，顺便又从手机发了点小秘密到电脑，你能找到它吗？pcap（kbeg）

过滤obex

尝试导出分组字节流，无效

可以看到右侧有一个flag.gif

把选中部分粘贴到二进制编辑器中，保存为secret.rar，解压得到flag.gif。如下图

4.你能从截取的数据包中得到flag吗？

统计，发现tcp只有一条

follow stream

 

FLAG:385b87afc8671dee07550290d16a8071

 

5.黑客通过wireshark抓到管理员登陆网站的一段流量包（管理员的密码即是答案)。 flag提交形式为flag{XXXX}

flag{ffb7567a1d4f4abdffdb54e022f8facd}

6.

 

比较大，跟踪流，发现

去除点，得到sctf{Easy_Mdbus}，发现提交并不对，再结合题目提交sctf{Easy_Modbus}即可。

7.

先找到了get语句 

substring函数是取字符串的特定位置，此处参考攻防世界 Misc高手进阶区 7分题 流量分析

import re

with open("/Users/yueting/下载/4d7c14206a5c4b74a0af595992bbf439.pcapng", "rb") as f:
    contents = f.read()
    res = re.compile(r'0,1\),(\d+),1\)\)=(\d+)%23').findall(str(contents))
    dic = {}
    #取a对应b的最大值
    for a, b in res:
        if a in dic:
            if int(b) > dic[a]:
                dic[a] = int(b)
        else:
            dic[a] = int(b)
    flag = ""
    for i in range(1,39):
        flag += chr(dic[str(i)])
    print(flag)

flag{c2bbf9cecdaf656cf524d014c5bf046c}

8.

明天再来吧

 

 

标签：int,flag,tcp,dic,CTF,流量,pcap,分析题
来源： https://blog.csdn.net/m0_37442062/article/details/116378287

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。