大家可以关注一下我的微信公众号-小白渗透测试
编辑
工具:wireshark
编辑
我们这里以三道CTF题目为例,开始讲解。
题目一
下载流量包,打开wireshark
编辑
流量包为多个带range头部发送的http报文,所以都是部分回显,把所有的部分回显按照时间顺序拼接即可
编辑
编辑
分别打开这几个文件,拼接里面的内容就是最终的flag ,结果为flag{17uaji1l}
题目二
下载压缩包解压后发现为流量包,打开分析
tcp 连接,再是 FTP 传输,应该是一个在传输某些文档的流量包,推测 flag 应该 和传输的文档有关。
搜索flag,未发现什么
编辑
搜索ftp-data。可以看到传输数据。
编辑
右键,追踪流-tcp流,可以看到ftp上列出的文件。
编辑
搜索 key,发现内容
编辑
发现 public key,将其保存为 pub.key
编辑
编辑
使用 foremost 分离文件,发现一个 txt 文件,好像是被加密了
编辑
用 openssl 解密
命令:openssl rsautl -decrypt -in key.txt -inkey key.key -out flag.txt -in 为要解密的加密文档 -inkey 为密钥 -out 为输出文档
编辑
编辑
题目三
下载附件,解压后是个流量包,直接 Wireshark 打开,查找 flag 无果
kali使用strings 即查找 webshell 中的带有“{”的 ASCII 字符串
编辑
代码
strings webshell.pcapng | grep { strings /root/桌面/webshell.pcapng | grep {
发现 flag fl4g:{ftop_Is_Waiting_4_y}
编辑
或者
wireshare打开
输入“http contains “shell””过滤
编辑
