bugku 流量分析

1.flag被盗了

拿到一个key.pcapng

首先是熟悉Wiresharrk这个软件,可以通过追踪http流,发现传输一个text文件,才从里面发现flag

2.中国菜刀

该题考点是流量分析,找到最后一个http,进行追溯,发现一串base64,查看执行代码。

得到X@Y + flag.tar.gz + X@Y

提取解压

3.这么多数据

1.len为0的不看,为端口扫描数据
2.追踪过的端口不再追踪
3.注意wireshark的颜色变化

4.手机热点

1.用foremost直接拿到rar里面的flag
2.用wireshark分析里面存在一个secret.rar ,提取数据,找到flag图片

5.抓到一只苍蝇

搜索flag.,发现用户上传一个fly.rar,大小为527521字节

{“path”:”fly.rar”,”appid”:””,”size”:525701,”md5”:”e023afa4f6579db5becda8fe7861c2d3”,”sha”:”ecccba7aea1d482684374b22e2e7abad2ba86749”,”sha3”:””}

跟踪流将文件下载,提取去掉包头,拼接得到rar

下载文件时发现大小为 529341 字节

计算得到包头大小 364字节

使用dd命令切掉包头

dd if=输入文件名 bs=1 skip=364 of=输出文件名

将结构拼接成rar,打开发现报错。

发现md5值与文件对不上,发现第17位为84,可能是伪加密,将其改为80,解压得到flag.txt

查看文件结果是个exe可执行文件,用二进制文件编辑器打开,拖至最后,发现一张png图片,扫码得到flag。

注:期间使用foremost提取rar得到一个有问题的rar

最后也可以将图片丢到foremost里面,提取出二维码

6.日志分析

该题目里面有一些sql语句可以学习

GET /vulnerabilities/sqli_blind/?id=2’ AND ORD(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),1,1))>64 AND ‘ZzhM’=’ZzhM&Submit=Submit HTTP/1.1

1.首先把access.log进行url转码,转成易阅读的文本格式,丢到apache日志分析工具当中

找每一个字段最后一次访问404的字符,进行拼接,得到flag{sqlm4p_15_p0werful}

7.weblogic

打开流量包,搜索host那么,记性http追踪,之后再次查找localhost,得到flag

8.信息提取

打开流量包,看到很多注入语句,判断出sqlmap使用二分法进行搜索注入,该注入是有回显的注入,搜索 The quick brown fox jumps over the lazy dog,

该语句是注入成功的回显语句,在每个字符的最后一次注入成功的结果+1,则得到该字符,最后得到ISG{BLind_SQl_InJEcTi0N_DeTEcTEd}

9.特殊后门

意思大概是通过icmp协议传递数据,搜索一下flag 定位到一个奇怪的地方,观察数据

发现每一个icmp包里面包含一个字符,拼接起来拿到flag{Icmp_backdoor_can_transfer-some_infomation}

 上一篇