这么多数据包

这么多数据包找找吧,先找到getshell的流
 
 
本题要点:包过滤、base64解密、常见端口
 
先用协议过滤一下~
 
用常用的http来过滤,发现没有这一类数据包~
 
 
用tcp协议过滤,发现有好多好多包呀~
 
 
我们从上至下扫一眼,发现常见的443端口,且这个数据包的前后都类似于端口探测扫描的行为。
 
注:
 源ip192. 一直向 目标ip192. 发送syn握手包,想要建立连接,其实就是端口扫描。
大概的原理就是,若想和某个端口建立连接,然后看这个端口的回复包的内容来判断是否开放了此端口。
我们现在就可以知道  .138是客户端,.159是服务器端 了。
 
 
接着我们可以看到,探测端口554下面两条红色标识的数据包~
红色的包是服务器向客户端回复的信息,代表此端口没有开放。
 
 
那么我们现在可以通过端口来进行判断服务器和客户端进行了什么操作~
由于数据包真的太多了,一条条往下翻真的看的人眼睛都花了QwQ
所以,我们可以直接通过字符串搜索,用常用的或者高危的端口来快速判断~
 
这里补充一下常见的高危端口(包含但不仅限于这些端口):
 
 
 
 3389和23端口 :
 
       3389端口是Windows 2000(2003) Server远程桌面的服务端口。
        (1)通过这个端口,用"远程桌面"等连接工具来连接到远程的服务器。
        (2)如果连接上了3389端口,输入系统管理员的用户名和密码后,将变得可以像操作本机一样操作远程的电脑。
        (3)当你的计算机修改完端口号后要想继续使用远程桌面,并且计算机有启用防火墙,则必须在防火墙例外中添加所修改的端口号。否则用3389与修改后的端口号都将连不上远程桌面。
 
      23端口是telnet的端口。
        (1)Telnet协议是TCP/IP协议族中的一员,是Internet远程登录服务的标准协议和主要方式。
        (2)它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序,用它连接到服务器。
        (3)利用Telnet服务,黑客可以搜索远程登录Unix的服务,扫描操作系统的类型。而且在Windows 2000中Telnet服务存在多个严重的漏洞,比如提升权限、拒绝服务等,可以让远程服务器崩溃。
 
-----补充完-----
 
我们可以根据上表的端口来进行搜索,看看是否有大量通信的数据包。
 
 
 
这里以搜索  为例:
 
我们发现有很多服务器和客户端相互通信有关3389的数据包~
 
 
选中一个包,追踪TCP流,看看里面有没有什么内容~
 
大多都是这样的内容......好像没什么可用的价值~
 
ps:包是真的多......
 
 
 
 
往下一直翻翻翻...看到了 SMB协议 ...
任意选一个,追踪tcp流~
 
SMB 协议:
        (1)客户端应用程序可以在各种网络环境下读、写服务器上的文件,以及对服务器程序提出服务请求。
        (2)此外通过 SMB 协议,应用程序可以访问远程服务器端的文件、以及打印机、邮件槽(mailslot)、命名管道(named pipe)等资源。
 
 
 
但是也没发现什么有价值的东西~哭
 
 
 
 
看到这,我们发现 43949与445 以及 1040与4444 ,分别产生了三次握手~
 
 
 
分别追踪一下TCP流,内容挺多的,搜索一下flag或者key这种比赛中答案提交的标志字符串~
发现又是啥也没有QwQ...
 
 
 
 
下面又陆陆续续发现了很多 1040与4444 的数据包,但是我们就可以不用管了,因为刚刚已经搜索过了,没什么信息~
 
 
 
于是,继续翻....翻了很久...
 
发现了 1234与35880 建立了三次握手,追踪TCP流~
 
 
 
瞧,我们发现了什么~
 
终于看到可能有点用的东西了~拿去base64解密吧!
 
base64加解密链接:http://tool.chinaz.com/Tools/Base64.aspx
 
 
 
终于找到答案了QwQ,此刻笔者内心:i dont like,哭,太费眼睛了!!!
 
提交 CCTF{do_you_like_sniffer} 
 
 
完成~
 
 
 
 
 
参考资料:
 
https://baike.so.com/doc/62776-66193.html
https://baike.so.com/doc/6953030-7175434.html
https://www.cnblogs.com/zaqzzz/p/9462757.html
 
 
 
 

Bugku-CTF分析篇-这么多数据包(这么多数据包找找吧,先找到getshell的流)的更多相关文章

  1. Bugku - CTF加密篇之聪明的小羊(一只小羊翻过了2个栅栏)

    聪明的小羊 一只小羊翻过了2个栅栏 KYsd3js2E{a2jda}  

  2. Bugku - CTF加密篇之滴答~滴

    滴答~滴 答案格式KEY{xxxxxxxxx}

  3. BugKu CTF(杂项篇MISC)-贝斯手

    打开是以下内容 先看一下给了哪些提示 1.介绍 没了?不,拉到最底下还有 2.女神剧照 密码我4不会告诉你的,除非你知道我的女神是哪一年出生的(细品) 大致已经明白了,四位数密码,出生年份 文件是以下 ...

  4. Bugku流量分析题目总结

    flag被盗 题目链接:https://ctf.bugku.com/files/e0b57d15b3f8e6190e72987177da1ffd/key.pcapng 解题思路: 这个题目是比较基本的 ...

  5. Bugku CTF练习题---分析---flag被盗

    Bugku CTF练习题---分析---flag被盗 flag:flag{This_is_a_f10g} 解题步骤: 1.观察题目,下载附件 2.下载的文件是一个数据包,果断使用wireshark打开 ...

  6. 启xin宝app的token算法破解——token分析篇(三)

    前两篇文章分析该APP的抓包.的逆向: 启xin宝app的token算法破解--抓包分析篇(一) 启xin宝app的token算法破解--逆向篇(二) 本篇就将对token静态分析,其实很简单就可以搞 ...

  7. Bugku CTF练习题---MISC---telnet

    Bugku CTF练习题---MISC---telnet flag:flag{d316759c281bf925d600be698a4973d5} 解题步骤: 1.观察题目,下载附件 2.拿到手以后发现 ...

  8. Bugku CTF练习题---社工---信息查找

    Bugku CTF练习题---社工---信息查找 flag:KEY{462713425} 解题步骤: 1.观察题目,思考题目内容,了解答案是群号 2.这里涉及到好多的信息,首先有网址,第二个是今日头条 ...

  9. 智能设备逆向工程之外部Flash读取与分析篇

    智能设备逆向工程之外部Flash读取与分析篇 唐朝实验室 · 2015/10/19 11:19 author: rayxcp 0x00 前言 目前智能家居设备的种类很多,本文内容以某智能豆浆机为例完成 ...

随机推荐

  1. ContestHunter 1201 最大子序和

    描述 输入一个长度为n的整数序列,从中找出一段不超过m的连续子序列,使得整个序列的和最大. 例如 1,-3,5,1,-2,3 当m=4时,S=5+1-2+3=7当m=2或m=3时,S=5+1=6 输入 ...

  2. MyBatis的手动映射与模糊查询

    一.手动映射 当实体类属性与数据库字段名不同时,无法自动映射,导致查询出空值,这时候可以使用手动映射 在select节点添加resultMap属性与resultMap节点建立关系

  3. vue formatter element表格处理数据

    formatter 指定一个vue methods 方法 作用:对从数据库中取出的数据进行处理后展示. <el-table-column prop="partner1" // ...

  4. Docker之设置加速器

    在Docker从仓库下载镜像是非常慢的,所以今天搞一个Docker设置加速器教程. 1. 创建一个Docker的配置文件. sudo vim /etc/docker/daemon.json 2. 编写 ...

  5. navicat连接mysql查询结果中文都是?号(C#)

    记录解决方法,方便以后查看.  有几个地方需要注意: 1.连接mysql数据库的字符串最后加上Charset=utf8; 2.mysql中character_set_XX设置都为utf8,使用show ...

  6. python之路递归、冒泡算法、装饰器

    map使用 完整用户名登录,注册 冒泡排序 递归 def func(arg1,arg2): if arg1 == 0: print arg1, arg2 arg3 = arg1 + arg2 prin ...

  7. python UI自动化之处理多窗口

    前言 有些页面的链接打开后,会重新打开一个窗口,想要在新页面上操作,就需要先切换窗口了.获取窗口的唯一标识用句柄表示,所以只需要切换句柄,我们就能在多个页面上灵活自如的操作了. 1.元素有属性,浏览器 ...

  8. 计蒜客 - A1603.天上的星星

    二维差分,理论上很简单,虽然我实际上做的时候一堆问题 1.边界的星星包含在内,需要在减去的时候往前挪一个 2.我是从0开始的,循环的时候非常不方便 3.x1, x2, y1, y2总是弄混 #incl ...

  9. 【16】LRUChache

    题目 LRU 思路 LRU 大家都不陌生,操作系统的作业做过,思路就是一旦添加或者访问某个元素,则将其的"访问属性"置零,而其他元素的访问属性统统减一,这样一来,访问属性最小的元素 ...

  10. apache配置跨域请求代理

    1.配置允许跨域请求 Header always set Access-Control-Allow-Origin "*"Header always set Access-Contr ...

热门专题

mac idea设置ndk
vue 前端埋点统计用户访问页面记录
opencv-python相机位姿估计
eclipse git提交
git clone命令没有反应
android配置 .so
nbu8.1.2主机注册
Android text viewxyabzgyab 丟失
win10没有大容量存储设备驱动
linux系统中mysql输入临时密码错误
AllocConsole() 修改大小
SVN本地删了一个文件怎么更新到库中
windows netstat close_wait 很多
vue 在页面加载完成获取某个元素
python flask接口流程图
java原生md5加密怎么加Salt
API POST传递多个参数
jdk一般安装在哪个目录
mosquitto arm c语言
oracle子分区自动创建