CTF流量分析题大全（掘安攻防平台）

CTF流量分析题⼤全（掘安攻防平台）

突然想做⼀下流量分析题，记得掘安攻防实验室上⾯baby歌词 有很多的流量分析题⽬，故做之

流量分析题⼀般使⽤的都是wireshark，（流量分析⼯具中的王牌

夺取阿富汗

说了分析http头，所以直接过滤http协议

追踪流

发现响应头⾥⾯有CTF: dGhlRmxhZ0luSHR0cEhlYWRlcg==

⼀看就是ba64编码，解码得：

夺取阿曼:

下载之后解压，使⽤wireshark打开出错

当然在题⽬⾥⾯已经提⽰了pcap⽂件已经损毁，另外还有zip⽂件存在，我们先使⽤windows下的foremost的⼯具看能否分离出zip⽂件

得到压缩包，打开其中的key⽂件

获得key

夺取安哥拉：

打开之后发现全部都是TCP包，直接追踪流

仔细观察了⼀下数据流，发现有CTF{

同时可以看到下⼀⾏有some_，所以找到所有带有下划线的单词，即

some_,leaks_,are_,good_,leaks_

所以最后的答案是CTF{some_leaks_are_good_leaks_}

夺取澳⼤利亚:

这次的流量包挺⼤的，⽹站账户密码，我们⾸先过滤http数据流，⼀般账户和密码的提交⽅式都是post⽅式，所以我们的过滤语句写成这样:

==POST

注意到第⼆个数据包是 /?action=login&show_rver_lection=1

追踪HTTP流

在流量包的最底端发现了ur和password，按照题意拼凑即可

夺取巴布亚新⼏内亚：

随⼿找⼀个数据包追踪流就找到了flag（⽔

夺取刚果（布）

这⾥找了好久，过滤的语句写的是ftp

⼀直没有找到，回来看了⼀下题⽬，重点是 ftp-data

第三个数据包追踪流即可

夺取哥斯达黎加：

打开之后发现⾥⾯都是http的数据包，随便翻了⼏个数据包追踪流之后，发现⾥⾯的⽂本信息很多（虽然我都看不懂）

包括有PNG图⽚隐藏在数据流⾥⾯

所以我们采⽤foremost 或者 binwalk 分离出⾥⾯的东西

output⾥⾯有好⼏张图⽚，咱们不着急，慢慢找flag

先对第⼀张图⽚查看属性，然后使⽤StegSolve进⾏图像的分析:

左下⾓就出现flag了

flag{J0hn_th3_Sn1ff3r}

这道题考的知识点⽐之前⼏道题要稍微多⼀点

夺取格陵兰:

题⽬是ssl-sniffer2，对于ssl的嗅探

同时在下载的压缩包⾥⾯有⼀个私钥⽂件，所以应该是通过私钥解密数据包后找到flag

打开后发现⾥⾯都是TLSv1.2的数据

这⾥我就不会了，采⽤官⽅题解⾥⾯的做法:

打开编辑⾥⾯的⾸选项，（也可以使⽤ctrl+shift+p召唤打开）

打开Protocols，找到⾥⾯的TLS（我这⾥版本的原因没有找到，SSL⼀样的）

在右边的这个位置点击Edit

IP地址填127.0.0.1，端⼝是445端⼝家英语 （为啥要是445端⼝，这⾥我换成了443端⼝还是可以找到最后的flag），协议是http

key file放⼊私钥⽂件，

设置好了之后我们就⼀路ok下去

回到主页之后发现有两个http的数据包绿了

直接追踪ssl流，发现已经解密出了key

获得flag

夺取古巴:

打开数据包，查找post传输的数据包

可以推断是通过post传输⼀个⽂件

然后传输⽂件的五个包序号是 163,289,431,577,729

我们直接采⽤导出HTTP对象的⽅式导出这五个数据包

点击wireshark 左上⽅ ⽂件-->导出对象-->HTTP

导出刚才那⼏个序号的⽂件

使⽤WinHex打开第⼀个⽂件，发现有Rar⽂本数据

（右下⾓Rar）

打开第⼆个⽂件，发现开头部分跟第⼀个⽂件是相同的

所以可以猜测开头的是⼲扰数据，实际上POST传输的是⼀个压缩包⽂件，所以我们在WinHex⾥⾯重新打开⼀个⽂件，将五个⽂件⾥⾯的⽂本数据拼凑成rar⽂件

为了防⽌我们有的地⽅没有复制到，我们可以记下相同位置的⼗六进制的值，这⾥就是：

0160hB这⾥，我们之后的四个⽂件也在这个位置进⾏拼凑

拼凑好了之后保存为⽂件

打开：

现在可以看到⾥⾯已经有

但是此时压缩包报错，说⽂件头已损坏，并且打开是需要密码的

这⾥的话没有什么线索，我们可以猜测 1，需要密码爆破，但是这⾥⽂件头报错，所以应该不是密码爆破

2，是rar伪加密

不到最后我们不使⽤爆破，所以在010editor⾥⾯更改rar的⽂件头⼗六进制

将第⼆⾏⾥⾯的84改为80 ，再次打开压缩包的时候左边用英语怎么说 ，就可以成功打开rar⽂件⾥⾯的⽂件二年级好句子 了

（这⾥有⼀个坑点，我们在拼凑rar⽂件的时候应当按照wireshark传输包的顺序来拼凑rar⽂件，⽽不是按照⾃⼰储存五个数据包⽂件的顺序来拼凑，因为windows是按照⽂件名来排

序的⽽不是传输的顺序，如果不这么拼凑的话，就会提⽰你，不仅⽂件头错误⽽且⽂件尾也会错误，这⾥我找了好久才找到原因，太菜诸葛古镇在哪里 了

⽂件⾥⾯打开后看到了 win32，说明这是⼀个exe⽂件

把flag⽂件的后缀名改成exe，打开看⼀下

打开之后就会看到⼏只苍蝇在桌⾯上爬⾏（这⾥就不截图了）

exe⽂件没有多余的线索的话我们就采⽤foremost 分离它看能否找到线索

分离出来了⼀⼤堆苍蝇的图⽚，将png图⽚拉到最下⾯，发现⼆维码：

扫描获取flag

夺取洪都拉斯：

打开之后打开⼏个流量包追踪流

发现其中有⼀个有 login 和 password

⽤户名是fake，密码是ur

最后的flag就是 fakeur

夺取⼏内亚:

打开流量包之后随便找⼀个进⾏追踪流:

发现密码，但是输⼊这个密码是错误的:

在流量包⾥⾯我们可以发现这是⼀个传输给linux主机的包，在linux下我们可以使⽤showkey -a查看键盘跟ASCII码的映射关系:

在这⾥我们发现 .点 对应的 ASCII码是0x7f

⽽在linux中对应0x7f的键盘位置是退格键

这就说明了，输⼊这⼀串密码的⼈，是先按下了backdoor之后，⼜删除了oor，再输⼊了00Rm8，然后再删除了8，最后输⼊了ate

知道了输⼊者输⼊的过程之后，我们就知道它的密码了:backd00Rmate

夺取加拿⼤:

打开流量包之后，看了⼀下导出对象⾥⾯的http，发现:

把导出并保存，打开的时候发现有密码

⼀般这种有密码的话要么是伪加密，要么是爆破，或者是流量包⾥⾯有password

先观察流量包⾥⾯的其他⽂件，发现第三个是，⽽且是text/html格式的男生节祝福语 ，导出看看

在⾥⾯发现了密码

打开压缩包，获取flag

夺取喀麦隆:

打开流量包，发现流量包的数量很少:

直接跟踪流，发现是以post的⽅式更新密码

查看post表单⾥⾯提交的数据:

发现password⾥⾯就有flag

在url在线解密⽹站上⾯进⾏解密，获得flag

夺取科特迪⽡:

题⽬⾥⾯已经听不到歌词 给出了提⽰，有两个点是我们需要注意的:有密码的压缩包，通过邮箱传递的密码

我们先打开wireshark导出对象:

⾥⾯有两个压缩包，⼀个是，另外⼀个是

我们点击可以看到返回的状态码是404，证明这个压缩包是⽆效的

所以保存

打开之后有输⼊密码提⽰，回到wireshark

电⼦邮件是使⽤的smtp协议，⽽且在题⽬⾥⾯已经有了提⽰，所以我们过滤smtp，随⼿跟踪流量包

发现⾥⾯有⼀段ba64编码，必然是要进⾏解密的

得到：

我们尝试使⽤ctf@进⾏解密，成功

获取flag

夺取克罗地亚:

题⽬⾥⾯已经有POST的提⽰了，我们打开流量包之后直接过滤post请求

有两个POST的包，追踪第⼀个:

发现了密码，提交flag{pssword}，⽆果

继⽽追踪第⼆个

发现了url编码的flag

在线url解码，获得flag:

夺取肯尼亚：

我们⾸先寻找

这⾥我就不会了，参考官⽅题解，官⽅题解猜测key是通过ftp进⾏传输的，因此过滤ftp-data流

跟踪流:

发现私钥，保存在我们本地，导⼊SSL

跟之前的⼀道题类似，我们打开编辑-->⾸选项-->protocols-->SSL

点击+号

最后那⾥导⼊的是之前我们保存的本地的私钥⽂件

然后我们⼀路OK下去

接着我们筛选ssl流

在这些绿⾊的解密后的传输包⾥⾯逐⼀追踪SSL流进⾏分析，寻找flag

发现FLAG

做道图⽚杂项题：

夺取罗马尼亚：

下载之后发现是docx⽂档，⾥⾯有⼀张360的图⽚

对这张图⽚进⾏各种操作，⽆果；

然后把doxc⽂档丢进foremost跑了⼀下，直接出了另外⼀张图⽚

密码确实是在图⽚中找。。。。

夺取马达加斯加:

感觉这个题⽬似曾相识，但是这个题⽬⽐之前做过的题⽬简单

既然是菜⼑的流量，我们筛选http的包，查找可疑的流量：

有⼀个流量包是这个样⼦的

很明显看出来这⼀部分是⼗六进制编码，猜测是图⽚，将其保存

在winhex⾥⾯可以看到这是⼀张png图⽚

保存之

打开⼀看是只有⼀半的钥匙，估计还有另外⼀半的秘钥，继续在流量包⾥⾯寻找

发现另外⼀个流量包⾥⾯是这个样⼦的

看来这是⼀个rar⽂件

显⽰数据那⾥点击原始数据，然后save as

⾥⾯就是⼀个没有加密的压缩包的图⽚，正是秘钥的上半部分

拼凑起来即可获得flag

夺取马来西亚:

打开wireshark，因为是⽤户登录中的密码，密码⼀般都是通过http的POST请求进⾏传输的，所以我们筛选http⾥⾯的post请求

只有⼀个，直接跟踪TCP流

发现有pswrd，是经过url编码再经过ba64加密的，解密得到

夺取⽑利塔利亚:

看到题⽬⾥⾯有ftp流量包的提⽰，进去之后直接筛选ftp流量包

随便追踪⼀个看到⾥⾯有传输压缩包⽂件

筛选ftp-data，跟踪⼀下流⽂件

看到是pk头，看来是压缩包，存储在本地，打开

压缩包⾥⾯是⼀张png图⽚，直接就是flag了

夺取缅甸：

这⾥我们筛选ftp数据包:

随机追踪流量包:

因为是查找密码，所以这⾥的密码就是:cdts3500

夺取摩洛哥:

对打开的流量包进⾏分析

这⾥找了很久都没有什么发现，然后发现有SYN包

就是这种的:

同时这些SYN包都是发现同⼀个IP地址的

⽽且⼀会出现⼀个，⼀会出现⼀个，很奇怪，于是我们筛选ip是这样的数据包:

这⾥可以看出来他的端⼝号⾮常奇怪，因为每次的端⼝号都不⼀样

所以我们猜测信息藏在端⼝号⾥⾯，看上去端⼝号减去⼀万之后是ASCII码，于是我们写⼀个python脚本进⾏处理

st=[102,108,52,54,58,32,73,74,117,115,116,77,97,100,101,89,111,117,87,97,116,99,104,77,101,83,117,114,102,84,104,101,73,110,116,101,114,110,101,1

test=''

for i in st:

test+=chr(i)

print test

得到flag：

把前⾯的fl46改成flag即可

夺取南苏丹:

本来以为是找猜到的密码的，key{123}死活不对

在流量包⾥⾯发现了

使⽤kali 下⾯的binwalk 进⾏数据包⾥⾯⽂件的分离

binwalk -e

得到flag

夺取葡萄⽛:

感觉题⽬的话好多。。。

打开流量包，筛选smtp的流量包，跟踪流

有⼀个很明显的ba64加密的字符串

解密

获取flag

挪威：

题⽬⾥⾯是寻找船舶的位置，猜测是寻找经纬度

随机跟踪⼀个TCP流就找到了

瑞典：

既然是telnet进⼊了电脑，我们就找telnet的数据包进⾏追踪

发现在某⼀个数据流⾥⾯有

后⾯跟的就是key了，即key{ZmlsZUB6aXAua}

苏丹

因为是webshell,所以我们⼀开始进去的时候就筛选http POST备注英语 的数据包

这⾥全部都是的数据包

开始⼀个个的数据流分析，最后发现⼀个返回的可以数据：

将z2 进⾏ba64解密之炫耀的近义词是什么 后获得flag

⼟⽿其

这个题⽬的思路跟之前的某个题⽬思路差不多，这⾥就不重复说了

ftp-->获取rar,http-->获取密码

获得flag

⼟库曼斯坦:

都说了是送分题了

打开wireshark之后随即追踪流即可获得flag

FLAG:385b87afc8671dee07550290d小米手机系统 16a8071

伊朗

这道题跟之前的题⽬也有相似

具体来说就是通过ftp-data下载压缩包到本地，然后通过smtp寻找密码，解密即可，前⾯的题⽬如果认真的了的同学这⾥应该也是很快就可以AK掉的

越南

这道题的知识是知识盲区

引⽤官⽅正解流程来做题

voip是ip电话，我们需要从数据包中提取出电话的语⾳，然后从中找到flag

发现有⼤量的RIP包，wireshark有⾃带的分析云因数据解码功能，点击 电话-->RTP-->RTP Streams

开启⼀个RIP流VOIP的窗⼝，选择源IP为192.168.56.101的流，点击右下⾓的Analyze解码

然后点击右下⾓的播放流

点击那个播放的图标即可听到flag

听到的语⾳为:

The flag is: S E C C O N open brace（反正我是没有听清楚，hhh）9 0 0 1 I V R clo brace

因为题⽬限制了flag的格式，所以最终的flag为

flag:{9001IVR}

（此处主要是学知识，听不听得清不重要，⼿动捂脸）

赞⽐亚

因为是找到⼀个修复的数据包，所以我们先在导出对象⾥⾯看看，

发现⾥⾯有JPG 和 pdf ⽂件，下载下来看看

pdf⾥⾯找到了flag

有空再更