NO.1 流量分析
流量分析题考察我们对于网络流量包的分析能力,可能需要我们从中提取出一个文件,也可能flag就隐藏在数据包中。遇到该类题型,可以使用Wireshark进行分析。Wireshark的过滤器可以帮助我们迅速定位到要分析的报文。还可以将HTTP流或TCP流汇聚或还原成数据显示出来。
而pcap文件格式是常用的数据报存储格式,wireshark这类的主流抓包软件生成这种格式的数据包,格式如下- -
日常做题:
题目是pcap文件,可以先用binwalk分析该文件,发现包含了一个PNG格式的文件,猜测flag应该就隐藏在该文件中。
然后用wireshark开始分析。既然会运用到十六进制,那就有必要了解一下PNG文件的头尾的字节格式。
PNG文件头字节为- -
PNG文件尾字节为- -
通过查找文件头- -
可以看到有png文件头的一部分字节
再按照Source进行排序,通过比对和观察可以发现,从1052到952开头的都是相应PNG文件的一部分,952下含有图片尾部字节。
所以只需要把这些部分下的字节拼成原文件就可以得到该png图片。
PS:此处需注意的是,在复制时和在粘贴时都有多个选项,在wireshark上应选择Copy Bytes as a Hex Stream,在winhex上粘贴时选择ASCII Hex。
No.2 NTFS交换数据流隐写
NTFS数据流指的是微软Windows NT内核的系列,是NTFS磁盘格式的一个特性。在NTFS文件系统中存在着NTFS交换数据流(Alternate Data Streams,简称ADS),每一个文件,都有着主文件流和非主文件流,主文件流能够直接看到;而非主文件流寄宿于主文件流中,无法直接读取,这个非主文件流就是NTFS交换数据流。
日常做题:
拿到一个压缩文件Misc150.rar,大小为427KB,普通解压之后,只得到一个Misc150.txt文件,大小为1KB,所以肯定有猫腻。而该txt文件内容是- -
Flag.zip behind me.
我们用winrar在cmd中解压,我刚开始使用的命令如下- -
"C:\Program Files\WinRAR\winRAR.exe" C:\Users\**\Documents\Misc150\Misc150.txt:Flag.zip
但是enter之后发现报错,找不到压缩文件,就很奇怪。试过很多次觉得有可能是存储的路径含有中文的缘故,就换了一下路径,如下- -
"C:\Program Files\WinRAR\winRAR.exe" D:\Misc150\Misc150.txt:Flag.zip
就可以看到隐藏的文件。