CTF

1.flag被盗

下载链接是.pcang文件

用wireshark打开

像这种流量分析题目，就要用Wireshark自带的搜索功能找尝试查找一些关键词（比如key、flag、shell、pass等）

 右击追踪数据流

 拿到flag{This_is_a_f10g}

2.中国菜刀

菜刀是一个连后门木马的工具。

题目链接下载下来是一个.pcang，用wireshark打开

追踪tcp流

 发现里面有压缩包，那就binwalk一下

 有一个压缩包 dd分离处理一下

分离之后把分离后的压缩包放到win下面解压用记事本打开就可以拿到flag

key{8769fe393f2b998fa6a11afe2bfcd65e}

3.这么多数据包

根据题目链接下载一个压缩包，解压是.pcang文件，题目提示是i先找getshell的流 

说明题目最后是要拿到shell

我们从数据包的下面往上分析

 一开始都是4444和1040的通信 ，追踪一下tcp流

没什么发现 继续从下往上翻 是1234和35880端口

 追踪tcp流 

把base64转化一下

 CCTF{do_you_like_sniffer}

4.手机热点

用wireshark打开下载的Blatand

 蓝牙传输 于是搜索obex（自动文件传输），可以发现有一个secret.rar

 左上角文件打开 导出分组流

 解压 拿到flag

 SYC{this_is_bluetooth}

5.抓到一只苍蝇（建议此题在kali里面搞）

把通过题目链接下载的.pcapng文件用wireshark打开

搜索http

 右击 追踪tcp流

可以看见

 可知这是在使用qq邮箱传文件，使用过滤语句 http.request.method==POST

 可以明显看见192.168.1.101向59.37.116.102发送了5个数据包

我们导出这五个数据包 文件-导出对象-http

 binwalk分析一下 发现有一个rar压缩包 364应该是数据包的一些头等等

dd依次分离，最终分离出5个压缩包

  数据包是把一个大的数据 分成一个个包发送，所以接下来思路应该是把这5个数据包连起来，组成一个完整的数据包。这里我们用cat命令合并文件

 放到win环境发现并打不开 要输入密码 我们放到winhex里面看看是不是伪加密，rar文件最后通过不断百度和看大佬的博客才知道是标志位出了问题，把84改为80

 保存打开有一个 txt文件

 文件很大，我们把txt改为exe，有很多苍蝇一直爬

 放到kali里面binwalk一下

 有png文件 直接foremost全部分离

 分出一个文件夹，里面有一个png文件夹 打开 全是苍蝇最后一张是一张二维码

 扫一扫得到flag{m1Sc_oxO2_Fly}

6.日志审计

待定

7.weblogic

8.信息提取

根据题目链接我们下载了一个pcap文件

用wireshark打开，过滤http包

 之前学过一点web所以可以知道这个过程是sql手工盲注的过程，想通过不断地注入 去爆字段和爆表

我们单击左上角文件然后导出http，直观的看一下注入语句

 9. 特殊后门

根据题目链接下载压缩包并解压发现是pcap文件

我们用wireshark打开

 没啥思路 ，看看题目提示

从通信方式的角度看，后门可分为http/https型、irc型、dns型、icmp型等等

然而这些包有很多类型如http/https型、irc型、dns型、icmp型

走题目顺序我们先看http一个个看了并没有什么信息

再看irc

 没有再看dns

 也没啥虽然数据包多，但点一下看还是很快的。再看看icmp

 当我点第一个包时

 

 依次点下去就是flag{Icmp_backdoor_can_transfer-some_infomation}

体力活。。。