[Misc]流量分析

流量分析

[羊城杯 2020]TCP_IP

知识点

image-20230316151743109

标识(Identification):由发送方帮助组装数据报的片段的标识值。
以太网缺省MTU=1500字节,这是以太网接口对IP层的约束(保证链路层的载波多路复用/冲突检测机制),如果IP层有<=1500字节的数据需要发送,只需要一个IP包就可以完成发送任务;如果IP层有>1500字节数据需要发送,需要分片才能完成发送。
也就是说当要发送的数据小于1500字节时,这个地方的数据变得没有意义,这里就是一个隐蔽通道。

TCP流里只有对话,没有有用信息。结合题目名称可猜测考点与协议相关。发现每个Source ip都不同

image-20221028153414308

但是ip如果对应ascii码会有不可见字符

将ip.id取出来,字段名右击字段 复制->字段名称获得

1
tshark -r attachment.pcap -T fields -e ip.id > ip.id.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
import binascii
import base91

infile = open('./ipid.txt','r')
content = infile.readlines()
flag = b""
for line in content:
    flag += binascii.unhexlify(line.rstrip('\n'))
infile.close()
print(flag)

print(base91.decode(flag.decode()))
#b'@iH<,{*;oUp/im"QPl`yR*ie}NK;.D!Xu)b:J[Rj+6KKM7P@iH<,{*;oUp/im"QPl`yR'
#bytearray(b'flag{wMt84iS06mCbbfuOfuVXCZ8MSsAFN1GA\xfd\xe3\x9f"1w\xe3Aw\xea\xbe\x18\tXV\xb8|\x8f')

flag{wMt84iS06mCbbfuOfuVXCZ8MSsAFN1GA}

[陇剑杯 2021]webshell(问1)

1
2
单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
黑客登录系统使用的密码是_____________。。得到的flag请使用NSSCTF{}格式提交。

我刚开始以为这题问的密码是webshell“密码”,做了半天……

http.request.method == POST 过滤,发现请求体符合蚁剑的特征

数据包流量特征:
使用普通的一句话都存在以下特征:
每个请求体都存在@ini_set(“display_errors”, “0”);@set_time_limit(0)开头。并且后面存在base64等字符
响应包的结果返回格式为:
随机数
响应内容
随机数

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

江南大学通信工程在读本科生;江南大学信息安全俱乐部19级成员、现任俱乐部负责人;SU现役成员