【攻防世界CTF|杂项】第二题：心仪的公司

一、解题思考过程
1.下载题目文件
1.1发现所下载的是.pcapng类型文件，尝试直接点击，打不开

1.2查询.pcapng类型文件怎样打开

2.使用wireshark
2.1下载安装wireshark
官网：Wireshark · Download
2.2使用wireshark打开文件
用wireshark打开后发现是一个流量包

我们可以瞥见信息非常多，flag究竟在哪里，就需要我们进行思考分析
3.关联题目信息
tips：在上方的过滤栏，可以直接输入查找指令，筛选信息
由于题目叫webshell，并且基本是http，那我们直接输入：
http contains "webshell"

4.找到flag

最后答案为：fl4g:{ftop_Is_Waiting_4_y}
提交成功！
二、总结
1.本题方向：流量分析
网络流量分析是指捕获网络中流动的数据包，并通过检察包内部数据以及进行相干的协议、流量分析、统计等来发现网络运行过程中出现的问题，也可能从所抓到的包中得到想要的信息。
CTF比赛中，通常比赛中会提供一个包含流量数据的 PCAP 文件，进行分析。
2.工具：wireshark

• Wireshark捕获任何类型的网络数据包。
  
• 同时wireshark作为一个开源项目，来自全世界的开发者不断的优化wireshark
  
• wireshark是用C语言进行编写的。C语言的好处是直接操作内存，服从高
  

2.1常用过滤语法
（比云云题中在过滤栏中用到的http contains "webshell"，就是一种HTTP过滤的语法）

• 过滤ip，如源IP大概目标x.x.x.x：
  

–     ip.src eq xxxx or ip.dst eq xxxx 大概 ip.addr eq xxxx

• 过滤端口：
  

–     tcp.port eq(等于) 80 or udp.port eq 80

• 过滤MAC:
  

–     eth.dst == MAC地址

• 协议过滤:
  

–     直接在Filter框中直接输入协议名即可，http udp dns
2.2HTTP过滤语法

• http模式过滤
  
• http.request.method="OST" 过滤全部POST数据包
  
• http.request.uri=="/img/logo-edu.gif"
  
• http contains"GET" 模糊匹配 http头中有这个关键字
  
• http contains"HTTP/1." 版本号
  
• http.request.method=="GET"&& http contains"User-Agent:"
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。