这么多数据包

这么多数据包找找吧,先找到getshell的流
 
 
本题要点:包过滤、base64解密、常见端口
 
先用协议过滤一下~
 
用常用的http来过滤,发现没有这一类数据包~
 
 
用tcp协议过滤,发现有好多好多包呀~
 
 
我们从上至下扫一眼,发现常见的443端口,且这个数据包的前后都类似于端口探测扫描的行为。
 
注:
 源ip192. 一直向 目标ip192. 发送syn握手包,想要建立连接,其实就是端口扫描。
大概的原理就是,若想和某个端口建立连接,然后看这个端口的回复包的内容来判断是否开放了此端口。
我们现在就可以知道  .138是客户端,.159是服务器端 了。
 
 
接着我们可以看到,探测端口554下面两条红色标识的数据包~
红色的包是服务器向客户端回复的信息,代表此端口没有开放。
 
 
那么我们现在可以通过端口来进行判断服务器和客户端进行了什么操作~
由于数据包真的太多了,一条条往下翻真的看的人眼睛都花了QwQ
所以,我们可以直接通过字符串搜索,用常用的或者高危的端口来快速判断~
 
这里补充一下常见的高危端口(包含但不仅限于这些端口):
 
 
 
 3389和23端口 :
 
       3389端口是Windows 2000(2003) Server远程桌面的服务端口。
        (1)通过这个端口,用"远程桌面"等连接工具来连接到远程的服务器。
        (2)如果连接上了3389端口,输入系统管理员的用户名和密码后,将变得可以像操作本机一样操作远程的电脑。
        (3)当你的计算机修改完端口号后要想继续使用远程桌面,并且计算机有启用防火墙,则必须在防火墙例外中添加所修改的端口号。否则用3389与修改后的端口号都将连不上远程桌面。
 
      23端口是telnet的端口。
        (1)Telnet协议是TCP/IP协议族中的一员,是Internet远程登录服务的标准协议和主要方式。
        (2)它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序,用它连接到服务器。
        (3)利用Telnet服务,黑客可以搜索远程登录Unix的服务,扫描操作系统的类型。而且在Windows 2000中Telnet服务存在多个严重的漏洞,比如提升权限、拒绝服务等,可以让远程服务器崩溃。
 
-----补充完-----
 
我们可以根据上表的端口来进行搜索,看看是否有大量通信的数据包。
 
 
 
这里以搜索  为例:
 
我们发现有很多服务器和客户端相互通信有关3389的数据包~
 
 
选中一个包,追踪TCP流,看看里面有没有什么内容~
 
大多都是这样的内容......好像没什么可用的价值~
 
ps:包是真的多......
 
 
 
 
往下一直翻翻翻...看到了 SMB协议 ...
任意选一个,追踪tcp流~
 
SMB 协议:
        (1)客户端应用程序可以在各种网络环境下读、写服务器上的文件,以及对服务器程序提出服务请求。
        (2)此外通过 SMB 协议,应用程序可以访问远程服务器端的文件、以及打印机、邮件槽(mailslot)、命名管道(named pipe)等资源。
 
 
 
但是也没发现什么有价值的东西~哭
 
 
 
 
看到这,我们发现 43949与445 以及 1040与4444 ,分别产生了三次握手~
 
 
 
分别追踪一下TCP流,内容挺多的,搜索一下flag或者key这种比赛中答案提交的标志字符串~
发现又是啥也没有QwQ...
 
 
 
 
下面又陆陆续续发现了很多 1040与4444 的数据包,但是我们就可以不用管了,因为刚刚已经搜索过了,没什么信息~
 
 
 
于是,继续翻....翻了很久...
 
发现了 1234与35880 建立了三次握手,追踪TCP流~
 
 
 
瞧,我们发现了什么~
 
终于看到可能有点用的东西了~拿去base64解密吧!
 
base64加解密链接:http://tool.chinaz.com/Tools/Base64.aspx
 
 
 
终于找到答案了QwQ,此刻笔者内心:i dont like,哭,太费眼睛了!!!
 
提交 CCTF{do_you_like_sniffer} 
 
 
完成~
 
 
 
 
 
参考资料:
 
https://baike.so.com/doc/62776-66193.html
https://baike.so.com/doc/6953030-7175434.html
https://www.cnblogs.com/zaqzzz/p/9462757.html
 
 
 
 

Bugku-CTF分析篇-这么多数据包(这么多数据包找找吧,先找到getshell的流)的更多相关文章

  1. Bugku - CTF加密篇之聪明的小羊(一只小羊翻过了2个栅栏)

    聪明的小羊 一只小羊翻过了2个栅栏 KYsd3js2E{a2jda}  

  2. Bugku - CTF加密篇之滴答~滴

    滴答~滴 答案格式KEY{xxxxxxxxx}

  3. BugKu CTF(杂项篇MISC)-贝斯手

    打开是以下内容 先看一下给了哪些提示 1.介绍 没了?不,拉到最底下还有 2.女神剧照 密码我4不会告诉你的,除非你知道我的女神是哪一年出生的(细品) 大致已经明白了,四位数密码,出生年份 文件是以下 ...

  4. Bugku流量分析题目总结

    flag被盗 题目链接:https://ctf.bugku.com/files/e0b57d15b3f8e6190e72987177da1ffd/key.pcapng 解题思路: 这个题目是比较基本的 ...

  5. Bugku CTF练习题---分析---flag被盗

    Bugku CTF练习题---分析---flag被盗 flag:flag{This_is_a_f10g} 解题步骤: 1.观察题目,下载附件 2.下载的文件是一个数据包,果断使用wireshark打开 ...

  6. 启xin宝app的token算法破解——token分析篇(三)

    前两篇文章分析该APP的抓包.的逆向: 启xin宝app的token算法破解--抓包分析篇(一) 启xin宝app的token算法破解--逆向篇(二) 本篇就将对token静态分析,其实很简单就可以搞 ...

  7. Bugku CTF练习题---MISC---telnet

    Bugku CTF练习题---MISC---telnet flag:flag{d316759c281bf925d600be698a4973d5} 解题步骤: 1.观察题目,下载附件 2.拿到手以后发现 ...

  8. Bugku CTF练习题---社工---信息查找

    Bugku CTF练习题---社工---信息查找 flag:KEY{462713425} 解题步骤: 1.观察题目,思考题目内容,了解答案是群号 2.这里涉及到好多的信息,首先有网址,第二个是今日头条 ...

  9. 智能设备逆向工程之外部Flash读取与分析篇

    智能设备逆向工程之外部Flash读取与分析篇 唐朝实验室 · 2015/10/19 11:19 author: rayxcp 0x00 前言 目前智能家居设备的种类很多,本文内容以某智能豆浆机为例完成 ...

随机推荐

  1. 树莓派4B遇到的坑

    由于大创需要用到机器学习这些东西,入手了一个树莓派4B(新手没弄过,直接上手最新版果然是有坑的),大佬勿喷

  2. css实现梯形样式(含有border)

    类似本文热门评论 效果 .hot-comment-title{ float:right; position:absolute; right: -8px; top: -30px; padding: 0; ...

  3. java类及实例初始化顺序

    1.静态变量.静态代码块初始化顺序级别一致,谁在前,就先初始化谁.从上而下初始化(只在类加载时,初始化一次) 2.非静态变量.非静态代码块初始化顺序级别一致,谁在前,就先初始化谁.从上而下初始化(只要 ...

  4. [CF546C] Soldier and Cards - 模拟

    两个人玩牌,首先两个人都拿出自己手牌的最上面的进行拼点,两张拼点牌将都给拼点赢得人,这两张牌放入手牌的顺序是:先放对方的牌再放自己的.若最后有一个人没有手牌了,那么他就输了,求输出拼点的次数和赢得人的 ...

  5. 将用户名密码邮箱制成表格,以用户名为q结束

    print("输入用户名.密码.邮箱长度不能超过20个") s="" while True: v = input("用户名:") if v= ...

  6. C++-POJ1995-Raising Modulo Numbers[快速幂]

    #include <cstdio> typedef long long ll; int quick_pow(ll a,ll b,ll mod){ ll ans=; ))ans=(ans*a ...

  7. Django 初试水(一)

    2020年注定是一个不平凡的一年!坚持就是胜利,一起加油! 至于为什么使用 Django,也不想说太多.个人喜欢,这里不做介绍.直接进入主题.show me the code!!! python 的环 ...

  8. ORA-01843: not a valid month

    问题描述 ORA-01843: not a valid month oracle数据库插入出现无效的月份

  9. MyBatis 动态代理开发

    MyBatis 动态代理开发 §  Mapper.xml文件中的namespace与mapper接口的类路径相同. §  Mapper接口方法名和Mapper.xml中定义的每个statement的i ...

  10. java 集合与数组的互转方法,与源码分析

    前言 java数组与集合需要互相转换的场景非常多,但是运用不好还是容易抛出UnSupportedOperationException.下面讲解一下互转的方法,以及结合源码分异常产生的原因 集合转数组 ...

热门专题

sqlserver 2008禁用tls1.1 后无法启动
Inno 系统找不到指定的档案 English.isl
large address aware怎么用
java 有blockqueue为什么要用消息队列
sql server if语句
微信小程序手机号设置input
layui控制checkbox选中
log4net 不生成日志文件
其原因可能是堆被损坏
背包问题回溯与分支界限
blander layout没有属性栏
python中的os.path.split()[-1]
ansible 主机列表sudo
CMFCRibbonBaseElement按钮创建
mybatis insert 乱码
html底部下载app样式
bootm无法识别uImage
Android RTL布局机理
ubuntu22修改启动顺序
pdf矢量图怎么导出acrobat