0


【攻防世界CTF|杂项】第二题:心仪的公司

一、解题思考过程

1.下载题目文件

1.1发现所下载的是.pcapng类型文件,尝试直接点击,打不开

1.2查询.pcapng类型文件如何打开

2.使用wireshark

2.1下载安装wireshark

官网:Wireshark · Download

2.2使用wireshark打开文件

用wireshark打开后发现是一个流量包

我们可以看见信息非常多,flag究竟在哪里,就需要我们进行思考分析

3.关联题目信息

tips:在上方的过滤栏,可以直接输入查找指令,筛选信息

因为题目叫webshell,并且基本是http,那我们直接输入:

http contains "webshell"

4.找到flag

最后答案为:fl4g:{ftop_Is_Waiting_4_y}

提交成功!

二、总结

1.本题方向:流量分析

网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题,也可能从所抓到的包中获得想要的信息。

CTF比赛中,通常比赛中会提供一个包含流量数据的 PCAP 文件,进行分析。

2.工具:wireshark

  • Wireshark捕获任何类型的网络数据包。
  • 同时wireshark作为一个开源项目,来自全世界的开发者不断的优化wireshark
  • wireshark是用C语言进行编写的。C语言的好处是直接操作内存,效率高

2.1常用过滤语法

(比如此题中在过滤栏中用到的http contains "webshell",就是一种HTTP过滤的语法)

  • 过滤ip,如源IP或者目标x.x.x.x:

– ip.src eq xxxx or ip.dst eq xxxx 或者 ip.addr eq xxxx

  • 过滤端口:

– tcp.port eq(等于) 80 or udp.port eq 80

  • 过滤MAC:

– eth.dst == MAC地址

  • 协议过滤:

– 直接在Filter框中直接输入协议名即可,http udp dns

2.2HTTP过滤语法

  • http模式过滤
  • http.request.method="POST" 过滤全部POST数据包
  • http.request.uri=="/img/logo-edu.gif"
  • http contains"GET" 模糊匹配 http头中有这个关键字
  • http contains"HTTP/1." 版本号
  • http.request.method=="GET"&& http contains"User-Agent:"
标签: 安全

本文转载自: https://blog.csdn.net/weixin_70825534/article/details/140792703
版权归原作者 Wordsworth983 所有, 如有侵权,请联系我们删除。

“【攻防世界CTF|杂项】第二题:心仪的公司”的评论:

还没有评论