CTF实战数据包解题及思路
我要评论1.数据包解题方法及思路
数据包分析题在CTF中基本是战数必考题目,这类题目一般是据包解题及思给出一个pcap包文件,要求从中分析出Flag。战数有的据包解题及思简单,直接通过字符串检索就可以获取,战数有点需要破解密码,据包解题及思有的战数需要保存文件,虽然样式很多,据包解题及思但仍然有迹可寻。战数
1.1数据包简介
1.pcap文件简介pcap文件是据包解题及思常用的数据报存储格式,它是战数按照特定格式存储的一种文件格式,通过记事本等普通编辑工具打开pcap文件显示为乱码,据包解题及思pcap文件只能使用专业的战数数据包处理软件来打开,例如wireshark等。据包解题及思wireshark可以抓包、战数查看包以及另存为cap包等。
2. PCAP文件构成PCAP文件由一个PCAP文件头和多个PCAP数据包组成,PCAP数据又由数据包头和数据包内容组成,PCAP总体结构如图 1所示。
图1pcap总体结构图
(1)文件头
每一个pcap文件只有一个文件头,总共占24(B)字节,以下是总共7个字段的含义。
Magic(4B):标记文件开始,免费信息发布网并用来识别文件和字节顺序。值可以为0xa1b2c3d4或者0xd4c3b2a1,如果是0xa1b2c3d4表示是大端模式,按照原来的顺序一个字节一个字节的读,如果是0xd4c3b2a1表示小端模式,下面的字节都要交换顺序。现在的电脑大部分是小端模式。
Major(2B):当前文件的主要版本号,一般为0x0200
Minor(2B):当前文件的次要版本号,一般为0x0400
ThisZone(4B):当地的标准事件,如果用的是GMT则全零,一般全零
SigFigs(4B):时间戳的精度,一般为全零
SnapLen(4B):最大的存储长度,设置所抓获的数据包的最大长度,如果所有数据包都要抓获,将值设置为65535
LinkType(4B):链路类型。高防服务器解析数据包首先要判断它的LinkType,所以这个值很重要。一般的值为1,即以太网。
(2)数据包头(Packet Header)
数据包头可以有多个,每个数据包头后面都跟着真正的数据包。以下是Packet Header的4个字段含义:
Timestamp(4B):时间戳高位,精确到seconds,这是Unix时间戳。捕获数据包的时间一般是根据这个值。
Timestamp(4B):时间戳低位,能够精确到microseconds
Caplen(4B):当前数据区的长度,即抓取到的数据帧长度,由此可以得到下一个数据帧的位置。
Len(4B):离线数据长度,网路中实际数据帧的长度,一般不大于Caplen,多数情况下和Caplen值一样
(3)包数据(Packet Data)
Packet是链路层的数据帧,长度就是网站模板Packet Header中定义的Caplen值,所以每个Packet Header后面都跟着Caplen长度的Packet Data。也就是说pcap文件并没有规定捕获的数据帧之间有什么间隔字符串。Packet数据帧部分的格式就是标准的网络协议格式了。
1.2数据库包解题思路
1. 字符串提取很多简单的数据包题可以通过strings命令来直接进行搜索获取,其命令格式如下:
strings -a filename.pcap | grep -i strings,其中filename.pcap为包文件,strings为需要进行查找的关键字,例如password、user、admin、flag等,关键字要根据CTF题目中的提示来进行。
2.在wireshark中直接对关键字进行搜索在Wireshark中可以通过String来搜索关键字,也即在Filter中输入关键字,如图2所示。
图2wireshark搜索关键字
3.使用wireshark进行Follow分析使用wireshark包分析软件打开包文件,根据题目提示,可以选择相对应的协议来进行follow跟踪和分析。
4.提取内容为文件在wireshark中或者其它编辑器中,将需要提取的内容单独保存为文件,这些文件可能是图片文件、压缩文件等。
(1)winhex来提取(->|和|<-之间的)内容保存为对应的文件,一般在数据库包分析的数据包记录前后应该有提示,比如tar.gz或者rar等。
(2)有些文件可能是txt文件、png文件等。
1.3数据包分析实战
1.实战数据包随波逐流该题为一个data.pcap抓包文件,需要获取管理员的密码才能获取Flag值,通过前面的解题思路,可以通过linux进行字符串搜索,根据提示该字符会包含“pass”或者“=”关键字。
(1)执行关键字搜索命令
strings data.pcap | grep -i =
strings data.pcap | grep -i pass
即可获取关键信息:
userid=spiveyp&pswrd=S04xWjZQWFZ5OQ%3D%3D
(2)url解码
对S04xWjZQWFZ5OQ%3D%3D通过notepad的url解码获取为:
S04xWjZQWFZ5OQ==
(3)base64解密
S04xWjZQWFZ5OQ==明显采用base64加密,通过nodepad的base64解密获取管理员userid及pswrd值:userid=spiveyp&pswrd=KN1Z6PXVy9
(4)登录系统即可获取flag值
使用用户名spiveyp和KN1Z6PXVy9登录系统即可获取Flag值。
2.实战数据包无线加密题目仅仅给出一个ctf.pcap文件,根据包头文件LinkType值分析出该包为无线数据包,无线数据包一般都是包含密码,需要进行解密。
(1)获取解密密码
在wireshark中奖ctf.pcap包另存为ctf.cap,在aircrack-ng -w password.txt ctf.cap进行破解,获取密码为password1,如图2所示。
图2获取密码值
(2)对ctf.pcap进行解包
执行命令airdecap-ng ctf.pcap -e ctf -p password1 -o me.cap,对ctf.pcap包进行解密,其中ctf为AP名称,password1为密码,生成me.cap包,如图3所示。
图3获取原始数据包
(3)wireshark分析获取Flag值
使用wireshark打开me.cap包,然后对HTTP协议进行分析,如图4所示,获取flag值:flag{H4lf_1s_3n0ugh}。
图4分析HTTP协议获取Flag值
(4)使用字符串搜索
可以使用另外一种方法:strings me | grep flag,如图5所示来获取flag值。
图5通过strings命令来获取flag值
相关文章
华为电脑手机教程(打造独一无二的华为电脑桌面,让你与众不同)
摘要:作为现代人离不开的通讯工具,手机已经成为我们日常生活中不可或缺的存在。而华为电脑作为手机的重要配套设备,也扮演着越来越重要的角色。如何在华为电脑上进行个性化的桌面布置,让它成为你与...2025-11-05
前所未有的能力如果你还怀疑关系型数据库的局限性,那么请想象一下,使用关系型数据库管理系统,是否能够解决以下问题:如何找到一个人朋友的朋友的朋友……?如何实时)找到一个账户与多个黑名单账户之间的关联路2025-11-05
01.前言数据中台和业务中台的区别,希望能够深入浅出,很容易理解的解释什么情况下需要业务中台,什么情况下需要数据中台以及双中台的关系。我前面做了很多行业研究和案例分享,但是都是企业级的讲解,感觉都不够2025-11-05
一、问题最近有一个SQLSERVER的数据库迁移项目,采用的方法是全量备份+差异备份,然后在目标机器上进行还原,由于源库的数据量非常大,大概10T左右,所以打算直接备份至target机器,然后再进行还2025-11-052K屏幕手机观看VR的体验如何?(探索2K屏幕手机在VR世界中的表现,挖掘更真实的沉浸感)
摘要:近年来,随着虚拟现实VR)技术的不断发展,越来越多的人开始追求更真实、更具沉浸感的VR体验。而2K屏幕手机作为一种高分辨率的设备,是否能够带来更出色的VR观看效果呢?本文将从多个...2025-11-05
前言同事火急火燎的走了过来,说:敖丙快帮我看看这个错误,啥情况啊?我一看报错:Field xxxService in com.xx.xx.service.impl.XxXServiceImpl req2025-11-05
最新评论