两道CTF流量分析题分享

前言

工作上遇到的两道蛮有意思的流量分析题，分享给大家，顺便自己也温习一下wireshark的部分常用命令和操作。当然还有很多别的技巧，但我个人倾向于使用命令去过滤，比较简单方便。当然流量包也会分享出来，在资源中，可以去找一下。

一、第一题

（一）题目

在流量中寻找管理员的密码！最终flag格式为flag{密码}

（二）解答过程

从题目信息可以判断出，应为应用层的数据包分析，因此可以直接用命令筛选。通常涉及账号密码的数据包，提交方式为POST的概率至少是99%，因此应当重点关注POST方法。
用wireshark打开流量包：

可以看到内容较多。我们要寻找的是flag，可以采用多种方法，这里最方便的就是直接过滤。命令如下：

http.request.method==POST

然后将数据包展开即可得到flag：

也可以直接搜索所有http中包含flag的数据包：

得到管理员密码为:

ffb7567a1d4f4abdffdb54e022f8facd

提交flag时为：

flag{ffb7567a1d4f4abdffdb54e022f8facd}

（三）Wireshark应用层常用命令

过滤请求数据包：http.request
过滤响应数据包：http.response
过滤指定域名：http.host == “xxx.xxx.xxx”
筛选url中包含.php的http数据包：http.request.uri contains ".php"
筛选内容包含username的http数据包：http contains "username"
过滤请求头：http.request.method == GET
过滤请求的url：http.request.url==”/xxx/xxxx”
过滤包含HTTP错误状态码的响应包：http.request.code >= 400
过滤服务器端错误状态码的响应包：http.response.code <=599。

二、第二题

（一）题目

第1小题：

安全审计设备上捕获了一条OPC流量，疑似遭遇黑客攻击，请帮助运维人员分析出黑客攻击的流量编号。(注：仅需找到流量编号即可)

第2小题：

找出藏匿在流量包中的flag (提交格式为flag{})

（二）解答过程

使用wireshark打开流量包，发现有非常多的数据包：

题目要求是寻找一个流量编号，因此可以先随机点开一个观察一下其中的内容。由于题目中说的是一条流量有问题，因此ID应是唯一的，所以只需要找出一个独一无二的ID即可。重点查看数据包中包含ID字段的内容，然后选中该字段来过滤内容：

这里发现选中这个ID进行过滤后，结果依然是有很多数据包。因此可以考虑设置为非选中：

此时已经筛选出了一部分，但数据包依然很多，所以需要增加其他条件继续过滤。
通过观察，发现只有request数据包才有Auth Context ID:

所以可以增加requuest作为过滤条件：


随便点开几个会发现有一个ID特别醒目，就是1807560，重复了好几次：

前面提到，ID是唯一的，所以需要选中这个ID，并将它设置为“且非选中”，从而排除掉包含这个ID的数据包：

现在继续点开几个流量包，查看是否有重复ID。通过观察发现，769984至少出现两次，所以应排除：

同理，继续排除769412，最后只剩下三个数据包：

查看流量包，发现DCERPC协议下只有一个数据包，编号为5359：

因此5359即为第一小题的答案。
此外，也可以在kali上使用tshark工具进行过滤，命令如下：

tshark -r 身份验证.pcap -T fields -e dcerpc.auth_ctx_id|awk `{print $1}`|sort|uniq -c |sort -r -r

然后去搜8889272，从而定位到流量包的编号为5359：

之后审计流3991时会发现如下内容：

这疑似是某些内容进行编码后的信息。
将其中的内容提取出来：

89FQA9WMJ0TY8.3)P9TAN4V9X:T1E;$I]

这是uuencode加密方式，可以在以下站点进行解密：
http://www.mxcz.net/tools/UUEncode.aspx

解码后可得flag：

flag{jCNX92pgHnSfxkDelJ}

三、小结

本文分享了两道CTF流量分析题，分析的过程充满着许多乐趣，希望本文分享的两道题的分析对大家学习相关技能有帮助。