一、解题思考过程
1.下载题目文件
1.1发现所下载的是.pcapng类型文件,尝试直接点击,打不开
1.2查询.pcapng类型文件如何打开
2.使用wireshark
2.1下载安装wireshark
官网:Wireshark · Download
2.2使用wireshark打开文件
用wireshark打开后发现是一个流量包
我们可以看见信息非常多,flag究竟在哪里,就需要我们进行思考分析
3.关联题目信息
tips:在上方的过滤栏,可以直接输入查找指令,筛选信息
因为题目叫webshell,并且基本是http,那我们直接输入:
http contains "webshell"
4.找到flag
最后答案为:fl4g:{ftop_Is_Waiting_4_y}
提交成功!
二、总结
1.本题方向:流量分析
网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题,也可能从所抓到的包中获得想要的信息。
CTF比赛中,通常比赛中会提供一个包含流量数据的 PCAP 文件,进行分析。
2.工具:wireshark
- Wireshark捕获任何类型的网络数据包。
- 同时wireshark作为一个开源项目,来自全世界的开发者不断的优化wireshark
- wireshark是用C语言进行编写的。C语言的好处是直接操作内存,效率高
2.1常用过滤语法
(比如此题中在过滤栏中用到的http contains "webshell",就是一种HTTP过滤的语法)
- 过滤ip,如源IP或者目标x.x.x.x:
– ip.src eq xxxx or ip.dst eq xxxx 或者 ip.addr eq xxxx
- 过滤端口:
– tcp.port eq(等于) 80 or udp.port eq 80
- 过滤MAC:
– eth.dst == MAC地址
- 协议过滤:
– 直接在Filter框中直接输入协议名即可,http udp dns
2.2HTTP过滤语法
- http模式过滤
- http.request.method="POST" 过滤全部POST数据包
- http.request.uri=="/img/logo-edu.gif"
- http contains"GET" 模糊匹配 http头中有这个关键字
- http contains"HTTP/1." 版本号
- http.request.method=="GET"&& http contains"User-Agent:"
标签:
安全
本文转载自: https://blog.csdn.net/weixin_70825534/article/details/140792703
版权归原作者 Wordsworth983 所有, 如有侵权,请联系我们删除。
版权归原作者 Wordsworth983 所有, 如有侵权,请联系我们删除。