编辑“︁
PCAP文件修复
”︁(章节)
跳转到导航
跳转到搜索
警告:
您没有登录。如果您进行任何编辑,您的IP地址会公开展示。如果您
登录
或
创建账号
,您的编辑会以您的用户名署名,此外还有其他益处。
反垃圾检查。
不要
加入这个!
== 例题 == <blockquote>题目:第一届“百度杯”信息安全攻防总决赛 线上选拔赛:find the flag WP:https://www.cnblogs.com/ECJTUACM-873284962/p/9884447.html </blockquote> 首先我们拿到这样一道流量包的题目,题目名称为 <code>find the flag</code> 。这里面给了很多提示信息,要我们去找到 <code>flag</code> 。 '''第一步,搜索 <code>flag</code> 字样''' 我们先去搜索看看流量包里面有没有 <code>flag</code> 。我们使用 <code>strings</code> 命令去找一下流量包, <code>Windows</code> 的朋友可以用 <code>notepad++</code> 的搜索功能去寻找。 搜索命令如下: <syntaxhighlight lang="shell">strings findtheflag.cap | grep flag</syntaxhighlight> 搜索结果如下: [[File:./figure/strings-to-flag.png|strings-to-flag]] 我们发现搜出了一大堆的东西,我们通过管道去过滤出 <code>flag</code> 信息,似乎没有发现我们所需要找的答案。 '''第二步,流量包修复''' 我们用 <code>wireshark</code> 打开这个流量包 [[File:./figure/wireshark-to-error.png|wireshark-to-error]] 我们发现这个流量包出现了异常现象,我们可以修复一下这个流量包。 这里我们用到一个在线工具:http://f00l.de/hacking/pcapfix.php 这个工具可以帮助我们快速地将其流量包修复为 <code>pcap</code> 包。 我们对其进行在线修复。 [[File:./figure/repaire-to-pcap.png|repaire-to-pcap]] 修复完毕后点击 <code>Get your repaired PCAP-file here.</code> 即可下载流量包,然后我们用 <code>wireshark</code> 打开。 既然还是要找 <code>flag</code> ,我们可以先看看这个流量包。 '''第三步,追踪TCP流''' 我们追踪一下TCP流,看看有没有什么突破? [[File:./figure/wireshark-to-stream.png|wireshark-to-stream]] 我们通过追踪 <code>TCP</code> 流,可以看到一些版本信息, <code>cookie</code> 等等,我们还是发现了一些很有意思的东西。 从 <code>tcp.stream eq 29</code> 到 <code>tcp.stream eq 41</code> 只显示了 <code>where is the flag?</code> 这个字样,难道这是出题人在告诉我们 <code>flag</code> 在这里嘛? '''第四步,查找分组字节流''' 我们追踪到 <code>tcp.stream eq 29</code> 的时候,在 <code>Identification</code> 信息中看到了 <code>flag</code> 中的 <code>lf</code> 字样,我们可以继续追踪下一个流,在 <code>tcp.stream eq 30</code> 的 <code>Identification</code> 信息中看到了 <code>flag</code> 中的 <code>ga</code> 字样,我们发现将两个包中 <code>Identification</code> 信息对应的字段从右至左组合,恰好就是 <code>flag</code> !于是我们可以大胆地猜测, <code>flag</code> 肯定是藏在这里面。 我们直接通过搜索->字符串搜索->分组字节流->搜索关键字 <code>flag</code> 即可,按照同样的方式连接后面相连数据包的 <code>Identification</code> 信息对应的字段,即可找到最终的flag! 下面是搜索的截图: [[File:./figure/find-the-flag-01.png|find-the-flag]] [[File:./figure/find-the-flag-02.png|find-the-flag]] [[File:./figure/find-the-flag-03.png|find-the-flag]] [[File:./figure/find-the-flag-04.png|find-the-flag]] [[File:./figure/find-the-flag-05.png|find-the-flag]] [[File:./figure/find-the-flag-06.png|find-the-flag]] [[File:./figure/find-the-flag-07.png|find-the-flag]] [[File:./figure/find-the-flag-08.png|find-the-flag]] [[File:./figure/find-the-flag-09.png|find-the-flag]] [[File:./figure/find-the-flag-10.png|find-the-flag]] [[File:./figure/find-the-flag-11.png|find-the-flag]] [[File:./figure/find-the-flag-12.png|find-the-flag]] 所以最终的 <code>flag</code> 为:'''flag{aha!_you_found_it!}'''
摘要:
请注意,所有对gamedev的贡献均可能会被其他贡献者编辑、修改或删除。如果您不希望您的文字作品被随意编辑,请不要在此提交。
您同时也向我们承诺,您提交的内容为您自己所创作,或是复制自公共领域或类似自由来源(详情请见
Gamedev:著作权
)。
未经许可,请勿提交受著作权保护的作品!
取消
编辑帮助
(在新窗口中打开)
导航菜单
个人工具
未登录
讨论
贡献
创建账号
登录
命名空间
页面
讨论
不转换
不转换
简体
繁體
大陆简体
香港繁體
澳門繁體
大马简体
新加坡简体
臺灣正體
查看
阅读
编辑
查看历史
更多
搜索
导航
首页
最近更改
随机页面
MediaWiki帮助
工具
链入页面
相关更改
特殊页面
页面信息