总结一波最近做的流量分析题
作者:互联网
2022DASCTF Apr X FATE 防疫挑战赛 SimpleFlow
拿到流量包我选择先foremost一下,得到了一个flag.zip,but需要密码,返回流量包,翻一下会发现在tcp.stream eq 50中有一大长串密文
在搞不清状况的情况下我们可以先base64一下
然后可以发现这样一条指令
那就去流量里找g479cf6f058cf8这个参数的密文,去掉前两位然后base64
得到密码PaSsZiPWorD
解压flag.zip得到压缩包
第二届网刃杯网络安全大赛 easyiec
直接tcp contains "flag"得到flag
第二届网刃杯网络安全大赛 carefulguy
先说一下flag的十六进制是666c6167
在tcp.stream eq 3中看到了66
往后看
这个我不会用脚本提,手动提出来,一直到35流
连起来是666c61677b7034757333313576337279316e7433726573746963397d转成16进制就是flag
第二届网刃杯网络安全大赛 喜欢移动的黑客
这个一开始打不开,要改一下文件头
然后这题目中提到发动机最多能接受10000转/分钟的转速10000的16进制为2710,所以就直接筛选modbus.data>2710
2766是十六进制,转换为10进制得到10086
包号是68156
flag{1008668156}
第二届网刃杯网络安全大赛 ncsubj
在tcp.stream eq 0里就发现三段密文,拼起来是base64
解密
然后是rot13
flag{whatancsubject}
第二届网刃杯网络安全大赛 LED_BOOM
图片里的东西base64解不出来
打开流量包发现有几个s7comm的协议包,尝试过滤一下
然后我们可以发现只有长度是123的包正好有三个(提示说要找三个响应包)
看了大佬的wp,它们的数据中有LED On或者LED Off,这也说明就是这三个包
三个包包号连起来是585692787
结合图片里的密文可以想到AES解密
flag{tietie_tietie_tiet13}
标签:一波,网络安全,base64,流量,flag,tcp,密文,网刃杯,分析题 来源: https://www.cnblogs.com/fengyuxuan/p/16226210.html