这么多数据包

这么多数据包找找吧,先找到getshell的流
 
 
本题要点:包过滤、base64解密、常见端口
 
先用协议过滤一下~
 
用常用的http来过滤,发现没有这一类数据包~
 
 
用tcp协议过滤,发现有好多好多包呀~
 
 
我们从上至下扫一眼,发现常见的443端口,且这个数据包的前后都类似于端口探测扫描的行为。
 
注:
 源ip192. 一直向 目标ip192. 发送syn握手包,想要建立连接,其实就是端口扫描。
大概的原理就是,若想和某个端口建立连接,然后看这个端口的回复包的内容来判断是否开放了此端口。
我们现在就可以知道  .138是客户端,.159是服务器端 了。
 
 
接着我们可以看到,探测端口554下面两条红色标识的数据包~
红色的包是服务器向客户端回复的信息,代表此端口没有开放。
 
 
那么我们现在可以通过端口来进行判断服务器和客户端进行了什么操作~
由于数据包真的太多了,一条条往下翻真的看的人眼睛都花了QwQ
所以,我们可以直接通过字符串搜索,用常用的或者高危的端口来快速判断~
 
这里补充一下常见的高危端口(包含但不仅限于这些端口):
 
 
 
 3389和23端口 :
 
       3389端口是Windows 2000(2003) Server远程桌面的服务端口。
        (1)通过这个端口,用"远程桌面"等连接工具来连接到远程的服务器。
        (2)如果连接上了3389端口,输入系统管理员的用户名和密码后,将变得可以像操作本机一样操作远程的电脑。
        (3)当你的计算机修改完端口号后要想继续使用远程桌面,并且计算机有启用防火墙,则必须在防火墙例外中添加所修改的端口号。否则用3389与修改后的端口号都将连不上远程桌面。
 
      23端口是telnet的端口。
        (1)Telnet协议是TCP/IP协议族中的一员,是Internet远程登录服务的标准协议和主要方式。
        (2)它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序,用它连接到服务器。
        (3)利用Telnet服务,黑客可以搜索远程登录Unix的服务,扫描操作系统的类型。而且在Windows 2000中Telnet服务存在多个严重的漏洞,比如提升权限、拒绝服务等,可以让远程服务器崩溃。
 
-----补充完-----
 
我们可以根据上表的端口来进行搜索,看看是否有大量通信的数据包。
 
 
 
这里以搜索  为例:
 
我们发现有很多服务器和客户端相互通信有关3389的数据包~
 
 
选中一个包,追踪TCP流,看看里面有没有什么内容~
 
大多都是这样的内容......好像没什么可用的价值~
 
ps:包是真的多......
 
 
 
 
往下一直翻翻翻...看到了 SMB协议 ...
任意选一个,追踪tcp流~
 
SMB 协议:
        (1)客户端应用程序可以在各种网络环境下读、写服务器上的文件,以及对服务器程序提出服务请求。
        (2)此外通过 SMB 协议,应用程序可以访问远程服务器端的文件、以及打印机、邮件槽(mailslot)、命名管道(named pipe)等资源。
 
 
 
但是也没发现什么有价值的东西~哭
 
 
 
 
看到这,我们发现 43949与445 以及 1040与4444 ,分别产生了三次握手~
 
 
 
分别追踪一下TCP流,内容挺多的,搜索一下flag或者key这种比赛中答案提交的标志字符串~
发现又是啥也没有QwQ...
 
 
 
 
下面又陆陆续续发现了很多 1040与4444 的数据包,但是我们就可以不用管了,因为刚刚已经搜索过了,没什么信息~
 
 
 
于是,继续翻....翻了很久...
 
发现了 1234与35880 建立了三次握手,追踪TCP流~
 
 
 
瞧,我们发现了什么~
 
终于看到可能有点用的东西了~拿去base64解密吧!
 
base64加解密链接:http://tool.chinaz.com/Tools/Base64.aspx
 
 
 
终于找到答案了QwQ,此刻笔者内心:i dont like,哭,太费眼睛了!!!
 
提交 CCTF{do_you_like_sniffer} 
 
 
完成~
 
 
 
 
 
参考资料:
 
https://baike.so.com/doc/62776-66193.html
https://baike.so.com/doc/6953030-7175434.html
https://www.cnblogs.com/zaqzzz/p/9462757.html
 
 
 
 

Bugku-CTF分析篇-这么多数据包(这么多数据包找找吧,先找到getshell的流)的更多相关文章

  1. Bugku - CTF加密篇之聪明的小羊(一只小羊翻过了2个栅栏)

    聪明的小羊 一只小羊翻过了2个栅栏 KYsd3js2E{a2jda}  

  2. Bugku - CTF加密篇之滴答~滴

    滴答~滴 答案格式KEY{xxxxxxxxx}

  3. BugKu CTF(杂项篇MISC)-贝斯手

    打开是以下内容 先看一下给了哪些提示 1.介绍 没了?不,拉到最底下还有 2.女神剧照 密码我4不会告诉你的,除非你知道我的女神是哪一年出生的(细品) 大致已经明白了,四位数密码,出生年份 文件是以下 ...

  4. Bugku流量分析题目总结

    flag被盗 题目链接:https://ctf.bugku.com/files/e0b57d15b3f8e6190e72987177da1ffd/key.pcapng 解题思路: 这个题目是比较基本的 ...

  5. Bugku CTF练习题---分析---flag被盗

    Bugku CTF练习题---分析---flag被盗 flag:flag{This_is_a_f10g} 解题步骤: 1.观察题目,下载附件 2.下载的文件是一个数据包,果断使用wireshark打开 ...

  6. 启xin宝app的token算法破解——token分析篇(三)

    前两篇文章分析该APP的抓包.的逆向: 启xin宝app的token算法破解--抓包分析篇(一) 启xin宝app的token算法破解--逆向篇(二) 本篇就将对token静态分析,其实很简单就可以搞 ...

  7. Bugku CTF练习题---MISC---telnet

    Bugku CTF练习题---MISC---telnet flag:flag{d316759c281bf925d600be698a4973d5} 解题步骤: 1.观察题目,下载附件 2.拿到手以后发现 ...

  8. Bugku CTF练习题---社工---信息查找

    Bugku CTF练习题---社工---信息查找 flag:KEY{462713425} 解题步骤: 1.观察题目,思考题目内容,了解答案是群号 2.这里涉及到好多的信息,首先有网址,第二个是今日头条 ...

  9. 智能设备逆向工程之外部Flash读取与分析篇

    智能设备逆向工程之外部Flash读取与分析篇 唐朝实验室 · 2015/10/19 11:19 author: rayxcp 0x00 前言 目前智能家居设备的种类很多,本文内容以某智能豆浆机为例完成 ...

随机推荐

  1. java中堆栈的一些理解备忘

    堆:用来存放对象的信息,同一个类存放各自的成员变量,共享对象的方法. 栈:用来保存局部变量的值,包括基本数据类型的值.保存类的实例(堆区对象的引用).保存加载方法的帧. 常量池:包含了一个类型所有的对 ...

  2. go-web 获取get/post请求中的请求头和表单数据

    package main import ( "fmt" "net/http" ) func handler(w http.ResponseWriter, r * ...

  3. H5手机端开发问题及解决方案

    ios竖屏拍照上传,图片被旋转问题 1.通过第三方插件exif-js获取到图片的方向2.new一个FileReader对象,加载读取上传的图片3.在fileReader的onload函数中,得到的图片 ...

  4. postgresql + omniDB

    docker:组装 使用Postgres数据库的web应用 登录到psql的方法: psql --host=localhost --dbname=database-name --username=po ...

  5. IntelliJ IDEA 2019.1.3 最新破解教程【最强 可用至2099年】

    本文包括最新[2019.1.2]安装 和[2018.3.2](推荐)安装 ①IntelliJ IDEA 2018.3.2安装永久安装[最强]  一. 在官网下载IDEA安装包  链接:https:// ...

  6. java的服务是每收到一个请求就新开一个线程来处理吗?tomcat呢?

    首先,服务器的实现不止有这两种方式. 先谈谈题主说的这两种服务器模型: 1.收到一个请求就处理,这个时候就不能处理新的请求,这种为阻塞 这个是单线程模型,无法并发,一个请求没处理完服务器就会阻塞,不会 ...

  7. 07 部署fastDFS文件数据库

    安装fastDFS前必须准备好两个版本匹配的文件: libfastcommon_V1.0.7.tar.gz:基础库文件 FastDFS_V5.05.tar.gz:文件数据库文件 注:这两个文件版本要匹 ...

  8. 组合数的计算以及组合数对p取余后结果的计算

    前奏:统计 n! 中的所有质因子中pi的个数 普通方法:复杂度O(nlogn), 当n为10的18次方无法承受 // 复杂度O(nlogn), n为10的18次方无法承受 int cal(int n, ...

  9. [P4550] 收集邮票 - 概率期望,dp

    套路性地倒过来考虑,设\(f[i]\)表示拥有了\(i\)种票子时还需要多少次购买,\(g[i]\)表示还需要多少钱 推\(g[i]\)递推式时注意把代价倒过来(反正总数一定,从顺序第\(1\)张开始 ...

  10. Linux_oracle 数据库监听

    su - oracle  //切换到oracle用户模式下 cd $ORACLE_home/bin //进入oracle安装目录 lsnrctl start //启动监听 lsnrctl status ...

热门专题

python3中的long怎么表示
processing 汉字文本输入框
CSS 兼容性问题解决代码
idea设置编码mac
sql 拼接查询一个列的值
shell 怎么执行字符串命令
arch安装sublime
css 超出隐藏省略号
group by having后显示所有的值
怎么讲cnn网络模型代码转换成图片
ubuntu ping 不通自己
python 汉字 拼单缩写
c# 代码 添加控件 其他方法获取不到
zynq pl中断脉冲宽度
自定义的web api的过滤器调试到
vmware平台vcentr怎么扩容
ubuntu版本查看命令
OpenStack 虚拟机创建过程
adb 自动输入键盘拨号
oracle10 数据库行转列