BUUCTF | 几道简单流量分析题
被嗅探的流量
问题:黑客的攻击ip是多少?
在流量包里搜索字符串 flag{ ,在一条图片上传记录里找到 flag 明文
大流量分析(一)
附件是不同时段的流量包,打开后发现 Soure IP 以 B 类地址的私有段(内网)为主,考虑流量包是黑客的攻击流量
于是关注 Destination IP ,其中出现次数最多的就是 183.129.152.140(外网),即为黑客攻击的 IP
flag{183.129.152.140}
大流量分析(二)
问题:黑客使用了哪个邮箱给员工发送了钓鱼邮件?
在第一个流量包里过滤出 smtp 协议的记录,在 xsser@live.cn 后看到了 Sender ok
flag{xsser@live.cn}
大流量分析(三)
问题:黑客预留的后门的文件名是什么?
后门是可运行的脚本 .php ,慢慢找找出 admin.bak.php
flag{admin.bak.php}
荷兰宽带数据泄露
附件是 .bin 格式的文件,由于题目说了是宽带数据,推测这是路由器备份的文件
需要用 RouterPassView 解析,然后显示出 xml 格式的文件,flag 是用户名字段
flag{053700357621}
数据包中的线索
题目:公安机关近期截获到某网络犯罪团伙在线交流的数据包,但无法分析出具体的交流内容,聪明的你能帮公安机关找到线索吗?
流量不大,随意追踪一下 TCP 或者 HTTP 流,大概率会落在一段 GET 请求里,附加了一段经 Base64 加密的字符串
由于长度比较长,考虑是图片加密,在浏览器 url 中输入 data:image/png;base64,<base64>,查看到图片
flag{209acebf6324a09671abc31c869de72c}
