前言：

流量分析很有意思，之前忙于考試，暫時沒有學習了，考試結束了就來總結一下一些CTF下常見的流量分析的題型。

0x00:流量包修復

使用wireshark打開流量包發現報錯，可以使用在線pacp包修復工具進行修復
http://f00l.de/hacking/pcapfix.php

修復好之后再重新打開，翻了一下發現

這些包中的ID拼湊起來便是flag，可以查看一下

所以拼接起來即可組成flag

0x02:WEB掃描分析

常見的WEB掃描器有Awvs，Netsparker，Appscan，Webinspect，Rsas，Nessus，WebReaver，Sqlmap

有的CTF題會考察攻擊者使用的是哪一種掃描器，所以在做這類題之前，先要了解各個掃描器所含的特征

AWVS

#url acunetix acunetix_wvs acunetix_test #headers Host: acunetix_wvs_security_test Cookie: acunetix_wvs_security_test Cookie: acunetix Accept: acunetix/wvs #body acunetix_wvs_security_test acunetix

Nessus

#url nessus Nessus #headers x_forwarded_for: nessus referer: nessus host: nessus #body nessus Nessus

等等，詳細的就不再列出，可以參考師傅的博客
https://www.77169.net/html/259708.html
https://www.freebuf.com/column/156291.html

既然知道了各個掃描器的特征，就使用如下命令查詢

http contains “掃描器特征值”

過濾之后便可以發現明顯的awvs的特征，所以黑客使用的掃描器是awvs

0x03:后臺目錄爆破

涉及到爆破，就要發大量的請求，如黑客使用御劍等工具進行目錄掃描，會發送很多請求，因為是在遍歷字典中的一些目錄，所以捕獲到數據包中會有一大片都是掃描目錄的而且還是404 Not Found

ip.addr==192.168.32.189 && http contains "404"

0x04:后臺賬號密碼爆破

當黑客掃描到后臺登陸頁面時，肯定會先使用萬能密碼和弱口令進行嘗試，而登陸頁面一般都是POST請求，萬能密碼和弱口令一般都是含有admin的，而且登陸頁面一般是有login這個關鍵字的，所以可以利用這些進行過濾。

http.request.method == "POST" && http contains "login"

隨便查看一個，發現都是在進行后臺賬號爆破

0x05:Webshell上傳

黑客上傳了惡意webshell文件，有的題目通過給出的流量包要求還原出攻擊者上傳的webshll內容，通常webshell的上傳都是POST方式，而且webshell也分為很多種的，比如最常見的一句話木馬，這反而是最簡單的一種，有時查看是否含有關鍵字eval、system、assert便可以定位到其上傳的webshell，但也不是絕對就可以查看到。

http.request.method == "POST" && http contains "關鍵字"

下面就通過安恒八月月賽流量分析來實踐一番

0x06:安恒八月月賽流量分析

資源鏈接

https://pan.baidu.com/s/13SoD6xB7YBiqpUDCIcb8mg

題目背景

1.某公司內網網絡被黑客滲透，請分析流量，給出黑客使用的掃描器 2.某公司內網網絡被黑客滲透，請分析流量，得到黑客掃描到的登陸后臺是(相對路徑即可) 3.某公司內網網絡被黑客滲透，請分析流量，得到黑客使用了什么賬號密碼登陸了web后臺(形式:username/password) 4.某公司內網網絡被黑客滲透，請分析流量，得到黑客上傳的webshell文件名是，內容是什么,提交webshell內容的base編碼 5.某公司內網網絡被黑客滲透，請分析流量，黑客在robots.txt中找到的flag是什么 6.某公司內網網絡被黑客滲透，請分析流量，黑客找到的數據庫密碼是多少 7.某公司內網網絡被黑客滲透，請分析流量，黑客在數據庫中找到的hash_code是什么 8.某公司內網網絡被黑客滲透，請分析流量，黑客破解了賬號ijnu@test.com得到的密碼是什么 9.某公司內網網絡被黑客滲透，請分析流量，被黑客攻擊的web服務器，網卡配置是是什么，提交網卡內網ip 10.某公司內網網絡被黑客滲透，請分析流量，黑客使用了什么賬號登陸了mail系統（形式: username/password） 11.某公司內網網絡被黑客滲透，請分析流量，黑客獲得的vpn的ip是多少

第一個問題

查找黑客所使用的掃描器

所以結合上面所說的掃描器的特征進行過濾一下

http contains "acunetix"

所以黑客使用的掃描器是AWVS

第二個問題

黑客掃描到的登陸后臺是

如果黑客掃描到后臺，一定會進行大量嘗試賬號密碼，一定是以POST方式進行的

http.request.method == "POST"

查看一下TCP流，發現302重定向

所以可以確定黑客掃描到的登陸后臺是/admin/login.php?rec=login

第三個問題

黑客使用了什么賬號密碼登陸了web后臺(形式:username/password)

在上面知道了登陸后臺是/admin/login.php?rec=login，而且有302重定向的，所以可以確定黑客登陸的賬號和密碼，但是觀察了好多302登陸成功的，賬號密碼也都不一樣，所以這里再確定好黑客的IP，看看黑客登陸用的賬號密碼到底是哪個?

http.request.method == "POST" && http contains "rec=login" && ip.src==192.168.94.59

按時間進行排序，發現最后一條有302重定向

所以可以確定黑客使用的賬號和密碼是

admin/admin!@#pass123

第四個問題

黑客上傳的webshell文件名是，內容是什么,提交webshell內容的base編碼

http.request.method == "POST" && ip.src==192.168.94.59 && http

查詢一下黑客給服務器都發送了什么

發現一個很可疑的文件a.php，一般網站是不會命名這樣的文件，所以需要注意一下。

base64解碼一下，也沒發現有什么作用。但是可以知道的是webshell是php寫的，1234為傳遞值，這里查了很久也沒有發現是怎么上傳進去的，所以可以猜測一下是php一句話木馬。

http contains "<?php @eval" tcp contains "<?php @eval"

但是很奇怪的是在http下沒有找到

但是在tcp下卻找到了

下次的話如果http不行，就使用tcp,可能是tcp重傳的原因，導致http中沒追蹤到

文件名:a.php 內容是:<?php @eval($_POST[1234]);?> 編碼:PD9waHAgQGV2YWwoJF9QT1NUWzEyMzRdKTs/Pg==

第五個問題

黑客在robots.txt中找到的flag是什么

問題中已經給出了線索，即robots.txt，所以利用這個關鍵詞去查

http contains "robots.txt"

找到的flag是

87b7cb79481f317bde90c116cf36084b

也可以通過導出http對象，在文本過濾器中選擇robots.txt，將文件保存下來

第六個問題

黑客找到的數據庫密碼是多少

找數據庫密碼就涉及到三個關鍵字，分別是mysql、database、password,可以通過這幾個關鍵字來進行查詢

http contains "database"

但是這樣過濾的數據還是太多，可以再借助狀態碼來過濾一下，黑客可以得到mysql數據庫的密碼，說明是請求文件之后服務器正常返回，也就是狀態碼200。

http contains "database" && http.response.code==200

只有一條，減少了查找的時間

數據庫密碼為:e667jUPvJjXHvEUv

第七個問題

黑客在數據庫中找到的hash_code是什么

可以先利用這個關鍵字查找一下，但是沒有發現什么，既然還是關于數據庫的，在上面我們已經知道數據庫的主機是10.3.3.101，可以先查這個ip有什么數據

在第一個數據包中什么也沒找到，可以查詢第二個數據包

這是發出請求，可以通過查看響應結果來獲取hash_code的值

hash_code:d1c029893df40cb0f47bcf8f1c3c17ac

第八個問題

黑客破解了賬號ijnu@test.com得到的密碼是什么

在webtwo.pcap這個流量包中，使用分組詳情查詢，即可查到密碼


MD5解密一下即可

第九個問題

被黑客攻擊的web服務器，網卡配置是是什么，提交網卡內網ip

回到webone.pcap這個流量包中，這個問題問的是網卡的配置，一般網卡的名稱都為eth0,所以可以利用這個關鍵詞進行查詢

tcp contains "eth0"

追蹤一下tcp流，即可發現網卡的相關配置

內網IP為10.3.3.100

第十個問題

黑客使用了什么賬號登陸了mail系統（形式: username/password）

先查詢下mailtwo.pcap這個數據包，一開始利用POST和mail過濾了下

http.request.method==POST && http contains "mail"

發現黑客進行大量的登陸嘗試，隨便找了一個密碼，先看看是什么加密的

不是base64,應該是AES加密，但需要找到加密的密鑰，所以還是得重新過濾在服務器返回的信息中去查找，就先只過濾一下http,隨便找一個狀態碼為200的追蹤下TCP流，在服務器返回的信息中發現

看了師傅的博客，才知道 這是AES的CBC加密，填充格式為ZeroPadding，密鑰為字符串1234567812345678的hash值，偏移量為1234567812345678

既然加密方式知道了，下面只需要找到正確的賬號密碼即可

在過濾了http后，發現第一條數據有logout,查看了一下Cookie信息，發現了登陸的用戶名

在42號數據請求中，發現登錄用戶為wenwenni，再查看一下返回數據44號中出現{"success":true}，代表登陸成功。

(http contains "{\"success\":true}" or http.request.method=="POST") and ip.addr==192.168.94.59

發現都是在爆破，而且最后也沒有出現成功的，利用這個過濾方法查詢第二個包mailtwo1.pcap

從后往前看，18152是登陸成功的返回結果，對應的17126則應該就是正確的加密后的密碼

admin/admin!@#PASS123

第十一個問題

黑客獲得的vpn的ip是多少

在做題之前需要了解下VPN的一些協議，如PPTP
https://blog.csdn.net/zhaqiwen/article/details/10083025

PPTP原理1.PPTP客戶機使用動態分配的TCP端口號，與PPTP服務器使用的保留TCP端口號123建立控制連接 （PPTP控制連接攜帶PPTP呼叫控制盒管理信息，用于維護PPTP隧道）。2.客戶端與服務器通過控制連接來創建、維護、終止一條隧道。3.PPP幀的有效載荷經過加密、壓縮或是兩者的混合處理。4.使用通用路由封裝GRE對PPP幀進行封裝。5.將PPP幀封裝進IP數據報文中。通過IP網絡如Internet或其他企業準用INTRANET燈發送給PPTP服務器。6.服務器接收到PPTP數據包后進行常規處理。

此外，還需要了解下SMB服務
SMB服務詳解

先打開vpnone.pcap，發現

vpnone.pcap應該只是在嘗試登陸VPN，再來查看下vpntwo.pcap

在統計——>IPV4中發現

10.3.4.96 、10.3.4.55 、10.3.4.3出現的次數最多

先過濾一下SMB，發現

所以10.3.4.96是SMB服務器，排除，再來查詢下10.3.4.55

ip.addr==10.3.4.55

10.3.4.3先PING10.3.4.55

故因此可以推斷是黑客獲得VPN的IP是10.3.4.3

總結

以上是生活随笔為你收集整理的流量分析_安恒八月月赛的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。