声明：以下CTF题均来自网上收集，在这里主要是给新手们涨涨见识，仅供参考而已。需要题目数据包的请私信或在下方留言。

                          11.数据包分析- USB    （来源：网络）

1.关卡描述

---

请从给出的USB数据包中分析出flag

下载附件：

 

2.解题步骤

---

2.1 打开数据包文件后从协议可以发现这应该是一个USB的数据包

 

 

2.2 找到此USB设备的回复数据包，在详情中可以这个USB设备应该是一个罗技光电鼠标

 

2.3 自己观察每个数据后可以发现，这个数据包应该是代表着鼠标的移动，因为它的值在不断的变化，第二个字节代表X轴的移动，而第三个字节则代表在Y轴的+255和-256之间的运动

2.4 我们假设这些值确实是鼠标的移动产生的，接下来我们用tshark导出这些数据、

 

2.5 然后我们需要将第二个和第三个字节转换为坐标，可以使用以下命令，具体命令的意思可以查看awk的一些知识(注意，使用strtomun函数时需要安装gawk，在kali里面直接运行apt-get install gawk即可安装)：

awk -F: 'function comp(v){if(v>127)v-=256;return v}{x+=comp(strtonum("0x"$2));y+=comp(strtonum("0x"$3))}$1=="01"{print x,y}' data2.txt > data3.txt

 

2.6 然后我们使用gnuplot将这些数据绘制成图片即可。

 

2.7 注意此时的图片可能是颠倒过来的，放到photoshop中将其垂直翻转即可。

 

2.8 也可以使用python直接编写脚本完成，具体脚本内容请查看usbexp.py的内容

 

即可获得flag值 CTF{tHe_CAT_is_the_CULpRiT}

 

       12.数据包分析- FTP    （来源：cyber-security-challenge-2015）

1.关卡描述

---

根据所给的数据包分析出tribalwars网站账户和密码

下载附件：

2.解题步骤

---

2.1 用wireshark打开所给的数据包

 

2.2 输入http.host contains tribalwars 过滤出tribalwars网站的数据包

 

2.3 找到post的数据请求得到账户和密码

 

2.4 user=Falken password=Joshua