时效性
2025年7月29日
题目来源
题目描述
Write Up
文件下载下来以后是一个压缩包,内部是一个pcap文件,使用wireshark打开以后,查看TELNET数据包,就可以看到对应的flag
总结
本题属于流量分析中的基础题,在CTF中,使用流量包来藏匿flag是一种常见的手法,而且本题是非常基础的藏匿在流量中,更多的是类似文件压缩包的传输,对此,就需要使用到Wireshark等流量分析工具,故此熟悉此类工具的使用是关键。
在过滤栏输入表达式筛选目标流量:
- 按协议:
http、dns、tcp、udp、ssl(如http显示HTTP流量)。 - 按IP地址:
ip.src == 192.168.1.1(源IP)或ip.dst == 8.8.8.8(目标IP)。 - 按端口:
tcp.port == 80(HTTP端口)或udp.port == 53(DNS端口)。 - 组合过滤:
http and ip.addr == 192.168.1.1。
查看基础信息
-
协议详情:选中数据包,查看中间面板的协议树(如HTTP请求方法、URL、状态码)。
-
数据流追踪:
- 右键数据包 → Follow → TCP/UDP/HTTP Stream(查看完整会话文本)。
- 在弹出窗口中保存文本内容(如聊天记录、API请求)。
导出文件对象
- HTTP文件:
File → Export Objects → HTTP,可提取图片、文档等(支持按类型筛选)。 - FTP文件:
File → Export Objects → FTP(若有FTP传输)。
提取特定字段
-
自定义列显示:
- 右键数据包列表的列头 → Column Preferences。
- 点击
+添加字段(如http.request.uri显示URL)。
-
导出字段数据:
File → Export Packet Dissections → As CSV,勾选所需字段(如URL、IP地址)。
提取原始数据
-
单个数据包负载:
- 选中数据包 → 展开协议树 → 右键负载字段(如
data)→ Export Packet Bytes。
- 选中数据包 → 展开协议树 → 右键负载字段(如
-
批量提取:
-
使用
tshark(命令行工具)导出二进制数据:bash
tshark -r input.pcap -Y "http" --export-objects "http,./output_folder"
-
