2022DASCTF-SimpleFlow
描述
简单的流量分析,找到flag。下载压缩包,有一个SimpleFlow.pcapng
题目来源
为MISC第一题
tBUUCTF在线评测BUUCTF 是一个 CTF 竞赛和训练平台,为各位 CTF 选手提供真实赛题在线复现等服务。https://buuoj.cn/match/matches/95BUUCTF 是一个 CTF 竞赛和训练平台,为各位 CTF 选手提供真实赛题在线复现等服务。https://buuoj.cn/match/matches/95
工具
Wireshark,notepad++
过程
直接在压缩包中点击发现最后一层是一个需要密码打开压缩包。
解压SimpleFlow.pcapng后,用wireshark打开如下
一般情况先分析应用层,这个流量包中不少http协议相关数据包,那么就从http入手
先看返回包
1 前两个21和95没有返回数据
2 112,1224,144返回数据相同,执行了系统命令,看请求包验证一下。
3 156返回数据应该显示目录详情的命令
4 179 已经出现了flag文件了
5 244,269是在尝试输出flag文件但是没成功
6 369,404分别是压缩flag文件打开压缩包。
404的请求数据,数据是base64编码,显示字节流是进行了html编码,所以这里用notepad++打开并解码了。执行的命令有时另一个数据包总的参数,不过要从第二位之后开始。
这里没有密码。
于是看 369 的请求数据包,有三个重要参数,分别解码,第二个参数就包含了压缩命令和密码,题目到此也就解决了。
结果
输入密码 PaSsZiPWorD 打开压缩包吧。