攻防世界-恶臭数据包

⭕、知识点

1、802.11协议族及加密方式
2、WEP/WAP密码字典攻击与aircrack-ng的使用
3、二进制文件图片隐写
4、压缩包加密形式判断与爆破
5、Cookie、base64解码
6、DNS、Ping原理

一个.cap文件

1、看到.cap很容易联想到.pcap格式，file一下确认是流量包

2、丢进wireshark，发现全是802.11协议，这个流量包应该是通过监听网卡捕获的，没有密钥解不了，看不到上层传输的内容

3、使用aircrack-ng爆破得到wifi密码、用户名和加密方式为WPA

4、进入wireshark填入密钥和用户名

5、解开流量包，查看协议分级，有HTTP流量

6、追踪流发现有PNG图片，导出所有HTTP特定分组，得到一堆文件，找到几个大于1kb的，修改二进制内容，得到png

7、在修改二进制内容时拉到图片IEND后发现还有PK字段，应该是隐写了一个压缩包

8、foremost提取出来压缩包，需要密码，查看字节数据是真加密，爆破失败

9、回http流找到cookie疑似b64加密，解开得到hint

10、ping会有icmp和dns产生，过滤没有icmp，再找找dns，最近的一个包就是最下面这个序号最大的

11、把网址作为密码填入，解开得到flag

flag{f14376d0-793e-4e20-9eab-af23f3fdc158}

1、首次接触了802.11协议，促使了解了一下无线网，以下是自己的收获

802.11与802.3都是数据链路层协议族，.3为有线网协议族，.11为无线网协议族（WEP、WAP、WAP2、WAP3），无论有线无线，都遵循OSI模型，只是底层数据链路层不一样。有线网采用CSMA/CD，且没有考虑加密。而无线网的数据包通过电磁波传输，为避免窃听，使用的802.11协议族对整个有效荷载进行加密，且特制的流密码加密算法减轻路由器负担、减少发热、实现实时性。路由器会在接收到电磁波传来的数据包后自动脱去无线网数据链路层包头，换成有线网的。

查看解密后的无限流量包，可以看到数据链路层为LLC子层

结构图大致如下