一、解题思考过程
1.下载题目文件
1.1发现所下载的是.pcapng类型文件,尝试直接点击,打不开
1.2查询.pcapng类型文件怎样打开
2.使用wireshark
2.1下载安装wireshark
官网:Wireshark · Download
2.2使用wireshark打开文件
用wireshark打开后发现是一个流量包
我们可以瞥见信息非常多,flag究竟在哪里,就需要我们进行思考分析
3.关联题目信息
tips:在上方的过滤栏,可以直接输入查找指令,筛选信息
由于题目叫webshell,并且基本是http,那我们直接输入:
http contains "webshell"
4.找到flag
最后答案为:fl4g:{ftop_Is_Waiting_4_y}
提交成功!
二、总结
1.本题方向:流量分析
网络流量分析是指捕获网络中流动的数据包,并通过检察包内部数据以及进行相干的协议、流量分析、统计等来发现网络运行过程中出现的问题,也可能从所抓到的包中得到想要的信息。
CTF比赛中,通常比赛中会提供一个包含流量数据的 PCAP 文件,进行分析。
2.工具:wireshark
- Wireshark捕获任何类型的网络数据包。
- 同时wireshark作为一个开源项目,来自全世界的开发者不断的优化wireshark
- wireshark是用C语言进行编写的。C语言的好处是直接操作内存,服从高
2.1常用过滤语法
(比云云题中在过滤栏中用到的http contains "webshell",就是一种HTTP过滤的语法)
– ip.src eq xxxx or ip.dst eq xxxx 大概 ip.addr eq xxxx
– tcp.port eq(等于) 80 or udp.port eq 80
– eth.dst == MAC地址
– 直接在Filter框中直接输入协议名即可,http udp dns
2.2HTTP过滤语法
- http模式过滤
- http.request.method="
 OST" 过滤全部POST数据包
- http.request.uri=="/img/logo-edu.gif"
- http contains"GET" 模糊匹配 http头中有这个关键字
- http contains"HTTP/1." 版本号
- http.request.method=="GET"&& http contains"User-Agent:"
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
