声明：以下CTF题均来自网上收集，在这里主要是给新手们涨涨见识，仅供参考而已。需要题目数据包的请私信或在下方留言。

                             5.数据包分析- DNS    （来源：网络）

1.关卡描述

---

2.解题步骤

---

 

2.1 点击题目查看描述并下载附件

 

2.2 解压文件并打开文件、

 

 

2.3 短暂跟踪DNS查询，有数据包可疑的 636d467563323170.192.168.191.129 地址

 

 

2.4 把可疑包的信息进行整理收集以后得出：

5647687063794270

6379426849484e6c

59334a6c64434230

636d467563323170

6448526c5a434230

61484a766457646f

4947527563794278

6457567965534136

4b53424754454648

4c555a554e44646a

545667794e6e4258

65555a5453545a53

5546646855334931

57564a330a

即:56476870637942706379426849484e6c59334a6c64434230636d4675633231706448526c5a43423061484a766457646f494752756379427864575679655341364b534247544546484c555a554e44646a545667794e6e425865555a5453545a53554664685533493157564a330a

 

2.5 对其进行十六进制转换ASCII

VGhpcyBpcyBhIHNlY3JldCB0cmFuc21pdHRlZCB0aHJvdWdoIGRucyBxdWVyeSA6KSBGTEFHLUZUNDdjTVgyNnBXeUZTSTZSUFdhU3I1WVJ3

2.6 再对其进行base64解码，即可得到FLAF值

 

FLAG-FT47cMX26pWyFSI6RPWaSr5YRw

 

                             6.数据包分析- 菜刀    （来源：网络）

1.关卡描述

---

对所给的菜刀数据包分析，获得flag

2.解题步骤

---

 

2.1 打开数据包，发现抓包文件很小，随便找个TCP数据包，右击选择“跟踪TCP码流”，根据会话内容很像是菜刀的数据包。选择“Statistcs”—>“Conversations”，选择TCP档，发现存在8个TCP会话。

 

 

 

2.2 一个个分析，发现其中前5个会话是通过菜刀查看目录的一个操作，返回部分返回了一个目录中的内容（可通过对选中部分先进行URL解码，再进行Base64解码，即可看到菜刀执行的代码，进而分析其逻辑）。而第6个会话是一个下载文件的会话，第7个会话是一个上传文件的会话。

 

 

 

2.3 分析第6个会话，可以看到会话的逻辑是下载一个hello.rar的文件，随后web进行了响应，将hello.rar的内容返回给了客户端。这里因为服务器在响应时使用了Transfer-Encoding选项，所以这里不能直接使用“Save as”保存数据包中的内容再用winhex提取出来（可以是可以，但是这种方式保存下来的数据需要自己写个脚本进行处理然后才能用winhex提取文件，太麻烦）。、

 

2.4 那如何导出文件？选择“File”->“Export Objects”->“Http”，找到我们刚才下载文件会话的HTTP返回的那个Object，通过save as将其保存为文件。（通过这种方式提取出来的http数据，wiresahrk会自动帮我们解决采用Transfer-encoding传输的问题，而不需要我们自己去解决）

 

 

 

2.5  通过winhex打开刚刚保存的文件，将“->|”和“|<-”之间的数据保存为一个Rar文件。解压后发现是一张图片，里面有半个key。（“->|”和“|<-”为在传输数据时，菜刀加入的内容）

 

 

 

2.6 因为只有半个key，所以还需要分析上传逻辑。首先将菜刀的代码部分进行urldecode、base64解码还原出来，如图所示。很明显是一个上传文件的逻辑，这个无法用winhex提取文件，只能将菜刀的上传代码稍作修改，并在php环境下运行，即可以得到上传文件。

 

 

 

2.7 将数据填入后运行脚本，成功生成一个success.png文件，发现图片中存在另一半的key。

 

FLAG：c7265f898a52fcc4