流量分析——ctf比赛题目wp

原创 已于 2026-06-16 21:47:41 修改 · 置顶 · 326 阅读 · 7 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#网络
于 2026-06-16 21:43:38 首次发布

目录

1.打开题目,下载压缩包得到:

2.使用Wireshark打开pcap文件:

3.筛选其中http.request.method==POST的流量包:

4.打开最后一个,使用追踪流打开http流:

5.发现里面没有响应包?或许是在TCP流里面。

6.在这里找到了响应包,复制去解码看看(网站:CyberChef)

7.现在缺少上传一句话木马里面key的值,去Wireshark里面找

8.发现了key,复制到解码网站中去,开始解密:

解码成功,发现里面还需要base64解密:

还需要一层base64解密:

9.解码成功,发现了压缩包,里面存在hint.txt文件,和两个publickey1.pem、publickey2.pem文件,下载压缩包:

打开hint.txt,里面发现了flag的线索:

10.再次进行解密:

第一步:分析公钥文件

第二步:观察规律

第三步:分解n1

第四步:计算flag

得到最终flag:flag{d015aaeb4dec08e1db126e915d5a01cd}

总结最后的解密:

1.打开题目,下载压缩包得到:

2.使用Wireshark打开pcap文件:

3.筛选其中http.request.method==POST的流量包:

4.打开最后一个,使用追踪流打开http流:

5.发现里面没有响应包?或许是在TCP流里面。

6.在这里找到了响应包,复制去解码看看(网站:CyberChef

7.现在缺少上传一句话木马里面key的值,去Wireshark里面找

8.发现了key,复制到解码网站中去,开始解密:

解码成功,发现里面还需要base64解密:

还需要一层base64解密:

9.解码成功,发现了压缩包,里面存在hint.txt文件,和两个publickey1.pem、publickey2.pem文件,下载压缩包:

打开hint.txt,里面发现了flag的线索:

10.再次进行解密:

第一步:分析公钥文件

读取两个PEM文件,提取RSA参数:

python脚本:
from Crypto.PublicKey import RSA

with open('publickey1.pem', 'r') as f:
    key1 = RSA.import_key(f.read())
with open('publickey2.pem', 'r') as f:
    key2 = RSA.import_key(f.read())

n1 = key1.n  # 公钥1的模数
n2 = key2.n  # 公钥2的模数
e = key1.e   # 公钥指数(两个公钥相同)

得到:
n1 = 44246121011271558015758440510280691138722846766016040795998703455688525151379256016011185014483148720244671516767452195625707948011157989602942016776335196442421365765287185155510806225182363325150986994524037134984016506285078100457728341060710609269365508985454884521961175839515748036059179681942657577689
n2 = 17158155587933912733862117112921741960394800924905080120155126290019861407132554707926218749686578495716864799561315890557953113109324735791233074459468888097589339131946110721688767640016498865548393104662759706361264662132119647594657178484293948596771089238454030012847435029782391509410130521587561699521
e  = 13371021346616315920076193538067650539541146779172412744507029138592761005011917574966007335864235039499860965125624732929788729491998743504047568033447438467655783500512611961094604861333846130355851604111077366257232235022540362108284901457891912129883829489946171424434999959530586432212719360479668436857

第二步:观察规律

发现两个公钥的e完全相同,且n1和n2存在关系:
- n1 ≈ 3e,即 n1 = 3e + r1(r1为余数)
- n2 ≈ e,即 n2 = e + r2(r2为余数)
- gcd(r1, r2) = 2

第三步:分解n1

根据hint提示 `n1 = p * q`,需要分解n1得到p和q。

由于n1是1024位的RSA模数,本地分解困难,使用在线分解服务 factordb:
                                                curl "http://factordb.com/api?query=n1"

返回结果:
json
{
  "id": 1100000007547349937,
  "status": "FF",
  "factors": [
    [5179297973994056745045581282954968621384946327086691667233488759628164926044960668928261899054510047348571026000665332925925961116818759354673920176733761, 1],
    [8542879987488113293396137734378632163500730856409526220527242322392448077464051485155175738264336752261447259030358580971993116553295618833008963417079449, 1]
  ]
}

得到:
p = 5179297973994056745045581282954968621384946327086691667233488759628164926044960668928261899054510047348571026000665332925925961116818759354673920176733761
q = 8542879987488113293396137734378632163500730856409526220527242322392448077464051485155175738264336752261447259030358580971993116553295618833008963417079449

验证:p * q == n1 ✅

第四步:计算flag

根据hint中的公式:
python脚本;
from hashlib import md5
data = str(p).encode() + str(q).encode()
flag = 'flag{' + md5(data).hexdigest() + '}'
print(flag)

得到最终flag:
flag{d015aaeb4dec08e1db126e915d5a01cd}

总结最后的解密:

最后的解密是RSA大数分解题,核心思路:
1. 从PEM文件中提取RSA参数
2. 利用在线分解服务(factordb)分解模数n1
3. 根据hint中的flag格式计算md5得到flag

关键工具:factordb.com 在线RSA分解服务

LunaWisp
关注
流量分析题目(包含原题).md
02-20
A集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击(APT),并抓取了部分可疑流量包。请您根据捕捉到的流量包,搜寻出网络攻击线索,分解出隐藏的恶意程序,并分析恶意程序的行为。任务素材清单:捕获的网络数据包文件。
2019某行业CTF大赛题目复现——流量分析题(http)
qwsn
11-08 4432
0x01 上题目附件: 附件百度网盘链接地址 提取码 题目名字 https://pan.baidu.com/s/1e9A4750P_A6Sy5Gq5397VA zp14 http1 0x02 WP复习: 1.首先解压该附件 发现:有一个名为http1的流量包,我们这里使用wireshark软件打开 2.由题目可知,与http有关。我们这里筛选http 发现:两个带有flag....
流量分析实战——CTF真题练习
一个大一计算机科学与技术的学习笔记
04-05 548
摘要:本文通过三个网络安全竞赛题目,展示了使用Wireshark进行流量分析的技巧。第一个题目通过解码ICMP数据包长度获取flag;第二个题目分析异常TCP数据流中的base64图片;第三个题目通过分析大量网络包寻找异常流量。文章详细记录了从下载数据包、使用Wireshark分析到最终获取flag的全过程,涉及ICMP数据解码、base64图像提取等技术,为网络安全分析提供了实用案例。
工控CTFwp
热门推荐
aarong的博客
04-17 1万+
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
[比赛篇 | CTF] 2025春秋杯冬季赛WP
序章的博客
02-02 1237
title: ‘[比赛篇 | CTF] 2025春秋杯冬季赛WP’ cover: ‘’ tags:探测发现漏洞点在读取文章所请求的参数处,可传入路劲,对进行编码即可绕过: aiohttp路径遍历漏洞分析(XCE-2024-1472)连接之后发现使用编写通过搜索得知存在路劲遍历,aiohttp路径遍历漏洞分析(XCE-2024-1472)-先知社区通过这篇文章进行复现拿到.泄露扫描看到存在泄露漏洞将目录完整托到本地进行分析. 逻辑漏洞,访问网站,登录页给出测试用户账户密码: 抓包登录发现,的生成身份可以由
【虚空】【ISCTF2023】ISCTF2023 Misc方向全wp
qq_42557115的博客
12-02 2766
写在前边:还有一个re,有空在写全wp(下周吧)pwn的话我边打边做全wp,因为比赛的时候没打穿(悲)
[青少年CTF]-MISC WP(二)
qq_45524026的博客
03-14 2243
[青少年CTF]-MISC WP(二)
CyBRICS CTF 2020 NetWork部分 WP
h1nt的博客
08-21 631
国内CTF流量分析题目较少,就想着整理点东西 刚好这会有空把之前打的cybrics ctf 2020 的流量题的WP给写了 XCorp baby难度的题 拿到数据包直接用wireshark打开 根据提示我们将SMB对象导出 可以得到几个文件,关键的就是那几个能用的exe(22KB的都是,那个xcorp是改了名的) 打开显示需要输入用户名 再去流量包里搜索得到用户名即可得到flag 得到flag Google Cloud 一打开就是一堆ICMP报文。。 随便看看可以在
Wireshark抓包实战:5个CTF比赛常见流量分析套路(附解题思路)
weixin_29315091的博客
03-09 140
本文聚焦CTF比赛中的Wireshark流量分析实战,提炼出5个高效解题的核心套路。内容涵盖从HTTP异常状态码快速定位攻击痕迹、利用协议统计与会话追踪理清流量骨架,到深入ICMP、DNS、FTP等协议细节挖掘隐蔽信息,并结合高阶过滤技巧与完整实战案例,帮助选手系统掌握从海量数据包中精准提取Flag的分析思维与操作技能。
掌控安全 暖冬杯 CTF Writeup By AheadSec
末初 · mochu7
12-05 2731
掌控安全 暖冬杯 CTF Writeup By AheadSec
鹤城杯杂项MISC部分WP
TenG的博客
10-09 3155
Preface 昨天的比赛又一次见识到了大师傅们多么厉害,疯狂上分,可怜如我,只做出了四个杂项。趁着比赛刚过就写下WP,也会去看下其他师傅的WP学习下,文中有我理解错误的思路烦请师傅们多多指教 Process NEW_MISC 下载附件以后就是一个PDF 最开始我还以为有隐藏文件啥的,分离了下啥也没有。然后又换思路,开始看下PDF内容,发现这个单词表以后还以为是文章对应单词转换字母得出flag(不知道有没有师傅们跟我一样),看了好久以后都没找到这个表里面的单词,甚至还用百度翻译看了部分内容哈哈哈哈哈。然后发
Unity PICO4 学习记录8: WebRTC
m0_63485455的博客
06-22 538
这一篇和PICO本身没什么关系,只是记录一下开发过程我们要做一个“从超声设备采集影像数据,一对多地传给XR眼镜终端以及其他可能的设备”应用。发送端是Jetson,由同事负责;接收端XR眼镜端由我负责。同事说视频采集卡例程里给了两种通信协议:RSTP和WebRTC.一开始我尝试用HoloLens2,因为老师和医生们似乎更喜欢OST而不是VST;但是UWP ARM64 媒体栈对 RTSP 支持弱、MixedReality-WebRTC 停更,所以 HL2 不适合当主验证平台。
极低温测量的“狙击手”:DABT-PT509高精度PT100采集卡与工业物联网接入实战
siyuanshen0302的博客
06-24 277
大家好,我是ZLinear的硬件工程师。在之前的温度采集专题中,我们聊了专攻高温热电偶的“特种兵”DABT7668TC,以及“双模双待”的DABT7689。很多做制冷、化工、实验室设备的工程师私信问我:“张工,我的应用场景里没有上千度的高温,都是-200℃到600℃的极低温或者常温区(比如冷库、反应釜、液氮罐)。我需要极其稳定的测量,哪怕0.1℃的波动都会影响产品质量。有没有专门针对PT100优化的高性价比方案?当然有。今天,就为大家正式介绍我们ZLinear测温产品线中的“狙击手”——
【GetShell】kkFileView ZipSlip远程命令执行漏洞
Eason_LYC安全白帽子的成长博客
06-21 268
一个压缩包,点两下预览,服务器归你了。 kkFileView 这玩意儿企业里到处都是,解压的时候心大得离谱 —— 你在压缩包里写个 路径穿越,它真敢往根目录写。就像快递员送货,你填啥地址他都信,半点儿不验。 光写文件还不够,巧的是它自带的 LibreOffice 启动时会自动跑一个 Python 脚本。把这俩一串联:先覆写脚本,再点个文档预览,代码直接就执行了。这篇带你真刀真枪拿到 Shell。
项目篇:服务器模块及客户端的设计与实现
lxscxk的博客
06-23 417
项目服务器编写
Ricon组态 - 新一代工业可视化解决方案
by993的博客
06-22 260
在数字化转型的浪潮中,工业可视化已经成为企业提升效率、优化运营的关键利器。Ricon组态作为新一代工业组态软件,正以其卓越的性能和创新的设计理念,引领行业变革。
瑞士网络安全趋势与发展
网络研究观
06-19 149
这些攻击表明,一个关键威胁是复杂且难以检测的勒索软件攻击的兴起,包括针对关键基础设施提供商的攻击,即使像瑞士这样的发达国家也容易受到可能造成严重破坏的网络攻击。
如何理解数据包在Linux内核中的完整运行:从网卡到应用程序
最新发布
SDWAN_Cheap的博客
06-25 306
数据包从网卡到应用程序的旅程,是Linux内核网络栈精妙设计的集中体现。从硬件层:DMA绕过CPU直接写入内存从中断层:硬中断快速响应,软中断批量处理从协议层:sk_buff指针操作实现零拷贝,NAPI机制平衡中断与轮询从应用层:socket队列解耦协议处理与应用程序读取每一个环节的设计都经过深思熟虑,既要考虑性能,也要考虑通用性和可扩展性。当你掌握了数据包在内核中的运行路径,你也就掌握了一种系统性的排查方法:网络不通 → 检查路由表和iptables。
四轴运动控制系统 — 博客四 Modbus TCP/RTU 通信、大端字节序、数据轮询与异常处理
Freedom的博客
06-23 308
结论:ABCD = 大端模式。 Q2: “大端对应低地址存放高字节,值 1 存放为 0000 0001,数组 0 是低地址,所以把 0001 放进去了?” 答:混淆了两个概念——“16 位寄存器内部字节序"和"两个寄存器之间的顺序”。答:对,这是寄存器级别的理解。 Q4: Bit 层面最左边永远是高位,地址层面最左边就是低位? 答:对,两个不同的维度。 Q5: 断开连接后 MessageBox 一直弹窗怎么修复? 答:轮询异常的 catch 块中缺少"只弹一次"的标志位控制。原因: 每隔 200ms 触发一
聚铭网络受邀加入南京市雨花台区人工智能学会理事会成员单位
juminfo的博客
06-22 229
南京市雨花台区人工智能学会是由雨花台区科学技术协会担任业务主管,经规范登记设立的非营利性社会团体。学会汇聚人工智能领域权威专家、重点科研院所、头部科技企业及行业专业组织,是区域内链接产学研用、推动AI产业协同创新的核心平台。秉持“开放、合作、共享”的发展理念,学会常态化开展学术研讨、技术交流、成果转化、政策解读、行业培训等多元活动,持续搭建高层次资源对接平台,助力辖区人工智能企业提升核心竞争力,推动雨花台区人工智能产业规范化、高质量发展。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值