这么多数据包

这么多数据包找找吧,先找到getshell的流
 
 
本题要点:包过滤、base64解密、常见端口
 
先用协议过滤一下~
 
用常用的http来过滤,发现没有这一类数据包~
 
 
用tcp协议过滤,发现有好多好多包呀~
 
 
我们从上至下扫一眼,发现常见的443端口,且这个数据包的前后都类似于端口探测扫描的行为。
 
注:
 源ip192. 一直向 目标ip192. 发送syn握手包,想要建立连接,其实就是端口扫描。
大概的原理就是,若想和某个端口建立连接,然后看这个端口的回复包的内容来判断是否开放了此端口。
我们现在就可以知道  .138是客户端,.159是服务器端 了。
 
 
接着我们可以看到,探测端口554下面两条红色标识的数据包~
红色的包是服务器向客户端回复的信息,代表此端口没有开放。
 
 
那么我们现在可以通过端口来进行判断服务器和客户端进行了什么操作~
由于数据包真的太多了,一条条往下翻真的看的人眼睛都花了QwQ
所以,我们可以直接通过字符串搜索,用常用的或者高危的端口来快速判断~
 
这里补充一下常见的高危端口(包含但不仅限于这些端口):
 
 
 
 3389和23端口 :
 
       3389端口是Windows 2000(2003) Server远程桌面的服务端口。
        (1)通过这个端口,用"远程桌面"等连接工具来连接到远程的服务器。
        (2)如果连接上了3389端口,输入系统管理员的用户名和密码后,将变得可以像操作本机一样操作远程的电脑。
        (3)当你的计算机修改完端口号后要想继续使用远程桌面,并且计算机有启用防火墙,则必须在防火墙例外中添加所修改的端口号。否则用3389与修改后的端口号都将连不上远程桌面。
 
      23端口是telnet的端口。
        (1)Telnet协议是TCP/IP协议族中的一员,是Internet远程登录服务的标准协议和主要方式。
        (2)它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序,用它连接到服务器。
        (3)利用Telnet服务,黑客可以搜索远程登录Unix的服务,扫描操作系统的类型。而且在Windows 2000中Telnet服务存在多个严重的漏洞,比如提升权限、拒绝服务等,可以让远程服务器崩溃。
 
-----补充完-----
 
我们可以根据上表的端口来进行搜索,看看是否有大量通信的数据包。
 
 
 
这里以搜索  为例:
 
我们发现有很多服务器和客户端相互通信有关3389的数据包~
 
 
选中一个包,追踪TCP流,看看里面有没有什么内容~
 
大多都是这样的内容......好像没什么可用的价值~
 
ps:包是真的多......
 
 
 
 
往下一直翻翻翻...看到了 SMB协议 ...
任意选一个,追踪tcp流~
 
SMB 协议:
        (1)客户端应用程序可以在各种网络环境下读、写服务器上的文件,以及对服务器程序提出服务请求。
        (2)此外通过 SMB 协议,应用程序可以访问远程服务器端的文件、以及打印机、邮件槽(mailslot)、命名管道(named pipe)等资源。
 
 
 
但是也没发现什么有价值的东西~哭
 
 
 
 
看到这,我们发现 43949与445 以及 1040与4444 ,分别产生了三次握手~
 
 
 
分别追踪一下TCP流,内容挺多的,搜索一下flag或者key这种比赛中答案提交的标志字符串~
发现又是啥也没有QwQ...
 
 
 
 
下面又陆陆续续发现了很多 1040与4444 的数据包,但是我们就可以不用管了,因为刚刚已经搜索过了,没什么信息~
 
 
 
于是,继续翻....翻了很久...
 
发现了 1234与35880 建立了三次握手,追踪TCP流~
 
 
 
瞧,我们发现了什么~
 
终于看到可能有点用的东西了~拿去base64解密吧!
 
base64加解密链接:http://tool.chinaz.com/Tools/Base64.aspx
 
 
 
终于找到答案了QwQ,此刻笔者内心:i dont like,哭,太费眼睛了!!!
 
提交 CCTF{do_you_like_sniffer} 
 
 
完成~
 
 
 
 
 
参考资料:
 
https://baike.so.com/doc/62776-66193.html
https://baike.so.com/doc/6953030-7175434.html
https://www.cnblogs.com/zaqzzz/p/9462757.html
 
 
 
 

Bugku-CTF分析篇-这么多数据包(这么多数据包找找吧,先找到getshell的流)的更多相关文章

  1. Bugku - CTF加密篇之聪明的小羊(一只小羊翻过了2个栅栏)

    聪明的小羊 一只小羊翻过了2个栅栏 KYsd3js2E{a2jda}  

  2. Bugku - CTF加密篇之滴答~滴

    滴答~滴 答案格式KEY{xxxxxxxxx}

  3. BugKu CTF(杂项篇MISC)-贝斯手

    打开是以下内容 先看一下给了哪些提示 1.介绍 没了?不,拉到最底下还有 2.女神剧照 密码我4不会告诉你的,除非你知道我的女神是哪一年出生的(细品) 大致已经明白了,四位数密码,出生年份 文件是以下 ...

  4. Bugku流量分析题目总结

    flag被盗 题目链接:https://ctf.bugku.com/files/e0b57d15b3f8e6190e72987177da1ffd/key.pcapng 解题思路: 这个题目是比较基本的 ...

  5. Bugku CTF练习题---分析---flag被盗

    Bugku CTF练习题---分析---flag被盗 flag:flag{This_is_a_f10g} 解题步骤: 1.观察题目,下载附件 2.下载的文件是一个数据包,果断使用wireshark打开 ...

  6. 启xin宝app的token算法破解——token分析篇(三)

    前两篇文章分析该APP的抓包.的逆向: 启xin宝app的token算法破解--抓包分析篇(一) 启xin宝app的token算法破解--逆向篇(二) 本篇就将对token静态分析,其实很简单就可以搞 ...

  7. Bugku CTF练习题---MISC---telnet

    Bugku CTF练习题---MISC---telnet flag:flag{d316759c281bf925d600be698a4973d5} 解题步骤: 1.观察题目,下载附件 2.拿到手以后发现 ...

  8. Bugku CTF练习题---社工---信息查找

    Bugku CTF练习题---社工---信息查找 flag:KEY{462713425} 解题步骤: 1.观察题目,思考题目内容,了解答案是群号 2.这里涉及到好多的信息,首先有网址,第二个是今日头条 ...

  9. 智能设备逆向工程之外部Flash读取与分析篇

    智能设备逆向工程之外部Flash读取与分析篇 唐朝实验室 · 2015/10/19 11:19 author: rayxcp 0x00 前言 目前智能家居设备的种类很多,本文内容以某智能豆浆机为例完成 ...

随机推荐

  1. Struts2学习-struts执行过程简述

    1.web.xml <web-app> <filter> <filter-name>struts2</filter-name> <filter-c ...

  2. Android Q 接入 MQTT

    Android Q 接入 MQTT 首先在APP 下引入mqtt的库 implementation 'org.eclipse.paho:org.eclipse.paho.client.mqttv3:1 ...

  3. Proxy SwitchyOmega 使用黑名单和白名单

    “黑名单”会告诉代理工具,黑名单(国外)里面的网站要使用代理:“白名单”会告诉代理工具,白名单(大陆网站)里面的网站直接连接,其余使用代理. 黑名单PAC 黑名单PAC两条(任选其一):https:/ ...

  4. springboot整合websocket实现客户端与服务端通信

    定义  WebSocket是通过单个TCP连接提供全双工(双向通信)通信信道的计算机通信协议.此WebSocket API可在用户的浏览器和服务器之间进行双向通信.用户可以向服务器发送消息并接收事件驱 ...

  5. 使用node搭建静态资源服务器

    安装 npm install yumu-static-server -g 使用 shift+鼠标右键  在此处打开Powershell 窗口 server # 会在当前目录下启动一个静态资源服务器,默 ...

  6. 二分-B - Dating with girls(1)

    B - Dating with girls(1) Everyone in the HDU knows that the number of boys is larger than the number ...

  7. vs2017+resharper之常用快捷键备忘

    1.安装resharper后以vs2017的快捷键为主,让resharper作为一些方便的快捷键的补充. 2.vs2017的c++6的键盘布局模式快捷键 IntelliSence: 列表成员: Ctr ...

  8. websocket+node建立聊天室简单使用

    1.建立新的文件夹dome 2.执行 npm init加载package.json文件 3.node不支持websocket所以npm install  ws 下载 ws插件 4.建立index.ht ...

  9. (原创)SpringBoot入门

    本文章是SpringBoot入门的介绍在这里   我会尽量写一些细节性的东西,我用的是IDEA2016  Tomcat7 JDK1.8 Maven3.3.9 IDEA Tomcat JDK Maven ...

  10. 并查集路径减半优化 UnionFind PathHalving (C++)

    /* * UnionFind.h * 有两种实现方式,QuickFind和QuickUnion * QuickFind: * 查找O(1) * 合并O(n) * QuickUnion:(建议使用) * ...

热门专题

centos7 换源apt
微信公众号文章分享好友回调
mysql8.0 jdbc url指定时区为cts
windows idea远程调试 tomcat
@RequestParam接受Date类型的url参数
datagridview 禁止用户选择
linux中如何用鼠标选中多行
绝对定位元素遮住其他弹框
vagrant 下载特别慢
java异常类内部类笔记
ping通网关上不了外网
MariaDB 带判断参数的存储过程
java获取ad域的登录账户
ubantu postgres14 卸载
winform 获取当前页动态添加的控件
微信小程序 蓝牙发送数据 00 后面数据都没了
abap alv有几种实现方式
python3.10离线安装whl
PostConstruct bean加载之后再执行
kepserver与1500plc通讯