实验吧杂项-流量日志分析

A记录

数据包

题目描述如下：

 

下载下来是一个cap文件，用wireshark打开，提示文件截断

 

观察流量发现为无线流量，加上之前的报错，猜测为已加密的数据包

破解加密的无线数据包需要得到数据包的 ESSID 和 PASSWORD

使用Kali集成的 aircrack-ng 爆破工具得到ESSID为 0719 加密方式为 WPA加密（脆弱）

 

加载字典进行爆破得到password

aircrack-ng shipin.cap -w ~/桌面/passwd.txt 

 

使用airdecap-ng得到解密后的数据包  shipin-dec.cap

airdecap-ng shipin.cap -p 88888888 -e 0719

 

题目提示A记录的第一条，所以我们筛选查看DNS协议

通俗来说A记录就是服务器的IP，域名绑定A记录就是告诉DNS，当输入域名的时候给你引导向设置在DNS的A记录所对应的服务器。

 

如图，得到A记录的域名 push.m.youku.com

flag: ctf{push.m.youku.com}

 

 

 

抓到你了

数据包

题目描述如下：

下载文件没有后缀 编辑后缀为pcap，使用wireshark打开

提示ping探测存活主机，所以筛选ICMP协议数据包

查看分析可得

 2122232425262728292a2b2c2d2e2f30

 

 

 

NSCTF misc250

数据包

题目描述如下：

发现一个可疑的压缩包

 

使用wireshark，文件--导出对象--HTTP

得到 %5c 和 一个 加密的压缩包 key.rar

 

%5c 记事本打开得到提示信息：密码是nsfocus+5位数字

 

python 生成对应的字典

import string

string = "nsfocus"
with open("key.txt", "w") as f:
	for num in range(0, 100000):
		f.write(string+str(num).zfill(5)+'\n')

     

 

使用 ARCHPR 爆破得到 key   nsfocus56317

 

压缩包得到flag  flag{NCTF_R4r_Cr4ck}

 

 

 

这是捕获的黑客攻击数据包，Administrator用户的密码在此次攻击中泄露了，你能找到吗？

数据包

题目描述如下：

下载得到一个压缩包，解压得到数据包，扔到wireshark中

数据包略大，尝试HTTP过滤，大概查看数据包内容，发现了熟悉的eval函数，猜测 数据包通过一句话连接菜刀进行攻击

继续过滤为 POST请求    http.request.method == POST

得到如下数据

 

逐条查看，数据包内容均为base64编码，需解码

最后在 449 数据包中发现密码   Test!@#123

 

 

 

 

内网攻击数据包，请分析

数据包

题目描述如下：

下载得到一个压缩包，解压得到数据包，扔到wireshark中

数据包不多，发现smb数据包，猜测为内网的smb劫持攻击数据流量，smb包里面的challenge值确实也是1122334455667788

过滤得到smb协议数据包

smb协议：https://bbs.pediy.com/thread-176189.htm

得到

LMHASH:9e94258a03356914b15929fa1d2e290fab9c8f9f01999448

NTHASH:013f3cb06ba848f98a6ae6cb4a76477c5ba4e45cda73b475​​​​​​​

 

ANSI Password的生成过程是在syclover用户长度为16字节的LM Hash后补充5字节的0x00，得到21字节的Hash，再分成3组，每组7字节。将每组的7字节经过str_to_key函数处理成8字节的DES Key，对服务器返回的challenge进行标准DES加密，得到3组8字节的密文，最后将加密后的密文拼接在一起。Unicode Password生成过程类似，只不过DES密钥是经过NTLM Hash处理后得到的。

而根据LM Hash的生成过程，LM Hash的前8字节是将用户明文密码的前7位转为大写，再经过str_to_ket和标准DES加密处理得到的。

综上，ANSI Password的前8字节与用户明文密码的前7位的大写形式以及服务器响应的challenge有关。
本例中，challenge为0x1122334455667788，因此可以通过challenge为0x1122334455667788的HALFLM彩虹表来查出syclover用户明文密码的前7位大写形式。

彩虹表           rcracki

得到   NETLMIS  

可以使用 hashcat 爆破得到   NetLMis666  

 

 

 

你有记日志的习惯吗

题目链接

题目描述如下：

打开对应网址，可查得到日志文件和网站源码

日志文件是常规的爆破扫描，未发现有效信息

查看网站源码，题目提示记日志，所以重点放在配置文件、log上查看

最终在mysql的配置文件 my.cnf中发现key    YouGotIt!@#$ 

 

 

 

 

2015RCTF（misc50）

​​​​​​​解题链接

题目描述如下：

下载得到 log_log

修改后缀为.zip 得到真正的log文件

简单查看发现是sqlmap的爆破记录

 

直接搜索flag查看，提取对应爆破操作，解码 发现sqlmap正在通过二分法爆flag表的flag字段内容（用单个字符的ASCII码通过大小写判断）

直接提取爆破得到的每个字符

提取得到每个字符对应的ASCII码

[82,79,73,83,123,109,105,83,99,95,65,110,64,108,121,83,105,115,95,110,71,49,110,120,95,83,105,109,125,5]

python 转换 得到  ROIS{miSc_An@lySis_nG1nx_Sim}

list =[82,79,73,83,123,109,105,83,99,95,65,110,64,108,121,83,105,115,95,110,71,49,110,120,95,83,105,109,125,5]
str1 = ""
for i in list:
	str1 += chr(i)

print(str1)

 

写的时候实验吧直接维护了.... 还有一道流量题，有待补充