这么多数据包

这么多数据包找找吧,先找到getshell的流
 
 
本题要点:包过滤、base64解密、常见端口
 
先用协议过滤一下~
 
用常用的http来过滤,发现没有这一类数据包~
 
 
用tcp协议过滤,发现有好多好多包呀~
 
 
我们从上至下扫一眼,发现常见的443端口,且这个数据包的前后都类似于端口探测扫描的行为。
 
注:
 源ip192. 一直向 目标ip192. 发送syn握手包,想要建立连接,其实就是端口扫描。
大概的原理就是,若想和某个端口建立连接,然后看这个端口的回复包的内容来判断是否开放了此端口。
我们现在就可以知道  .138是客户端,.159是服务器端 了。
 
 
接着我们可以看到,探测端口554下面两条红色标识的数据包~
红色的包是服务器向客户端回复的信息,代表此端口没有开放。
 
 
那么我们现在可以通过端口来进行判断服务器和客户端进行了什么操作~
由于数据包真的太多了,一条条往下翻真的看的人眼睛都花了QwQ
所以,我们可以直接通过字符串搜索,用常用的或者高危的端口来快速判断~
 
这里补充一下常见的高危端口(包含但不仅限于这些端口):
 
 
 
 3389和23端口 :
 
       3389端口是Windows 2000(2003) Server远程桌面的服务端口。
        (1)通过这个端口,用"远程桌面"等连接工具来连接到远程的服务器。
        (2)如果连接上了3389端口,输入系统管理员的用户名和密码后,将变得可以像操作本机一样操作远程的电脑。
        (3)当你的计算机修改完端口号后要想继续使用远程桌面,并且计算机有启用防火墙,则必须在防火墙例外中添加所修改的端口号。否则用3389与修改后的端口号都将连不上远程桌面。
 
      23端口是telnet的端口。
        (1)Telnet协议是TCP/IP协议族中的一员,是Internet远程登录服务的标准协议和主要方式。
        (2)它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序,用它连接到服务器。
        (3)利用Telnet服务,黑客可以搜索远程登录Unix的服务,扫描操作系统的类型。而且在Windows 2000中Telnet服务存在多个严重的漏洞,比如提升权限、拒绝服务等,可以让远程服务器崩溃。
 
-----补充完-----
 
我们可以根据上表的端口来进行搜索,看看是否有大量通信的数据包。
 
 
 
这里以搜索  为例:
 
我们发现有很多服务器和客户端相互通信有关3389的数据包~
 
 
选中一个包,追踪TCP流,看看里面有没有什么内容~
 
大多都是这样的内容......好像没什么可用的价值~
 
ps:包是真的多......
 
 
 
 
往下一直翻翻翻...看到了 SMB协议 ...
任意选一个,追踪tcp流~
 
SMB 协议:
        (1)客户端应用程序可以在各种网络环境下读、写服务器上的文件,以及对服务器程序提出服务请求。
        (2)此外通过 SMB 协议,应用程序可以访问远程服务器端的文件、以及打印机、邮件槽(mailslot)、命名管道(named pipe)等资源。
 
 
 
但是也没发现什么有价值的东西~哭
 
 
 
 
看到这,我们发现 43949与445 以及 1040与4444 ,分别产生了三次握手~
 
 
 
分别追踪一下TCP流,内容挺多的,搜索一下flag或者key这种比赛中答案提交的标志字符串~
发现又是啥也没有QwQ...
 
 
 
 
下面又陆陆续续发现了很多 1040与4444 的数据包,但是我们就可以不用管了,因为刚刚已经搜索过了,没什么信息~
 
 
 
于是,继续翻....翻了很久...
 
发现了 1234与35880 建立了三次握手,追踪TCP流~
 
 
 
瞧,我们发现了什么~
 
终于看到可能有点用的东西了~拿去base64解密吧!
 
base64加解密链接:http://tool.chinaz.com/Tools/Base64.aspx
 
 
 
终于找到答案了QwQ,此刻笔者内心:i dont like,哭,太费眼睛了!!!
 
提交 CCTF{do_you_like_sniffer} 
 
 
完成~
 
 
 
 
 
参考资料:
 
https://baike.so.com/doc/62776-66193.html
https://baike.so.com/doc/6953030-7175434.html
https://www.cnblogs.com/zaqzzz/p/9462757.html
 
 
 
 

Bugku-CTF分析篇-这么多数据包(这么多数据包找找吧,先找到getshell的流)的更多相关文章

  1. Bugku - CTF加密篇之聪明的小羊(一只小羊翻过了2个栅栏)

    聪明的小羊 一只小羊翻过了2个栅栏 KYsd3js2E{a2jda}  

  2. Bugku - CTF加密篇之滴答~滴

    滴答~滴 答案格式KEY{xxxxxxxxx}

  3. BugKu CTF(杂项篇MISC)-贝斯手

    打开是以下内容 先看一下给了哪些提示 1.介绍 没了?不,拉到最底下还有 2.女神剧照 密码我4不会告诉你的,除非你知道我的女神是哪一年出生的(细品) 大致已经明白了,四位数密码,出生年份 文件是以下 ...

  4. Bugku流量分析题目总结

    flag被盗 题目链接:https://ctf.bugku.com/files/e0b57d15b3f8e6190e72987177da1ffd/key.pcapng 解题思路: 这个题目是比较基本的 ...

  5. Bugku CTF练习题---分析---flag被盗

    Bugku CTF练习题---分析---flag被盗 flag:flag{This_is_a_f10g} 解题步骤: 1.观察题目,下载附件 2.下载的文件是一个数据包,果断使用wireshark打开 ...

  6. 启xin宝app的token算法破解——token分析篇(三)

    前两篇文章分析该APP的抓包.的逆向: 启xin宝app的token算法破解--抓包分析篇(一) 启xin宝app的token算法破解--逆向篇(二) 本篇就将对token静态分析,其实很简单就可以搞 ...

  7. Bugku CTF练习题---MISC---telnet

    Bugku CTF练习题---MISC---telnet flag:flag{d316759c281bf925d600be698a4973d5} 解题步骤: 1.观察题目,下载附件 2.拿到手以后发现 ...

  8. Bugku CTF练习题---社工---信息查找

    Bugku CTF练习题---社工---信息查找 flag:KEY{462713425} 解题步骤: 1.观察题目,思考题目内容,了解答案是群号 2.这里涉及到好多的信息,首先有网址,第二个是今日头条 ...

  9. 智能设备逆向工程之外部Flash读取与分析篇

    智能设备逆向工程之外部Flash读取与分析篇 唐朝实验室 · 2015/10/19 11:19 author: rayxcp 0x00 前言 目前智能家居设备的种类很多,本文内容以某智能豆浆机为例完成 ...

随机推荐

  1. D - Three Integers

    https://codeforces.com/contest/1311/problem/D 本题题意:给出a,b,c三个数,a<=b<=c: 可以对三个数中任意一个进行+1或-1的操作: ...

  2. XJOI CSP-S2 2019开放模拟训练题1 赛后总结

    比赛链接 友好数对 暴力枚举\([L,R]\)之间的所有数,将每个数进行"旋转",看是否符合题意. 注意"旋转"的次数,并不一定是数字位数.只要旋转回到了初始数 ...

  3. Abp的swagger UI 出现Failed to load API definition.

    Abp 出现Failed to load API definition.如下图: 原因:本次出现的原因是Api里面的方法重名了(只是方法的参数不一样)(可能是controller中的auction上面 ...

  4. JFinal获取多个model

    个人博客 地址:http://www.wenhaofan.com/article/20180930112646 由于jfinal框架自身没有实现获取多个同一类型的Model的方法,导致获取ModelL ...

  5. TCL 包

    包用于创建代码的可重用单元. 程序包提供特定功能的文件集合. 1.创建代码 2.创建包index 打开tclsh,切换到HelloWorld目录,并使用pkg_mkindex 命令创建索引文件. %c ...

  6. PyQt5+Eric6开发的一个使用菜单栏、工具栏和状态栏的示例

    前言 在做一个数据分析的桌面端程序遇到一些问题,这里简单整理下,分享出来供使用者参考. 1.网上查使用PyQt5工具栏的示例,发现很多只是一个简单的退出功能,如果有几个按钮如何处理?如何区分点击的究竟 ...

  7. 835. 字符串统计(Trie树模板题)

    维护一个字符串集合,支持两种操作: “I x”向集合中插入一个字符串x: “Q x”询问一个字符串在集合中出现了多少次. 共有N个操作,输入的字符串总长度不超过 105105,字符串仅包含小写英文字母 ...

  8. spring微服务实战 - 1 一个完整的HTTP JSON REST服务

    import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.Spr ...

  9. console.log对象全部展开

    挖掘Chrome Console的小秘密 SP_lyu关注 2018.09.15 18:25:32字数 1,697阅读 917 控制台应该是大多数前端开发人员日常开发调试离不开的神器.然而控制台仍有很 ...

  10. 题解 【Codeforces988E】Divisibility by 25

    本题是数论好题! 首先我们需要了解一个关于数论的性质: 一个数只要后两位能被25(或4)整除,这个数就能被25(或4)整除. 同理,后三位:(或8).后四位:(或16)亦是如此. 所以,我们只需要判断 ...

热门专题

linux eric6 pyuic5 模块没有发现
修改class文件里的函数
linux查看没有启动tomcat的权限
latex页码从摘要开始
webstock是https请求为啥连接不上
xptable 表格控件
idea unknown database解决方案
react-native-tab-view 使用方法
MediaPlayer的接口与构造
centos下安装、配置、启动 apache-airflow
linux grafana安装包百度网盘
c# response输出zip文件
dataTables 获取某行某列值
无法获取本地变量值 因为在指针中不可用
OSG相机和模型绑定
gitlab集成k8s
centOs 救援模式 bash notfind
ttl与非门电压与电平之间有什么关系
B S架构与MVC模式区别
cad2023卸载工具