BUUCTF misc 专题（11）wireshark

本文为零基础用户提供BUUCTF MISC流量分析题的Wireshark实战指南，涵盖HTTP过滤技巧、数据包深度分析及Flag提取方法。通过详细步骤和实用命令，帮助新手快速掌握流量分析核心技能，高效解决CTF竞赛中的常见问题。

本文深入解析了在BUUCTF竞赛中运用Wireshark进行流量分析的核心技巧与实战writeup。文章从基础操作与高效过滤入手，通过HTTP流量分析、USB键盘流量解密、Webshell混淆流量还原等多个经典案例，系统讲解了从海量数据包中定位、提取并解码flag信息的方法论与实用工具链，帮助CTF选手快速掌握这一关键得分技能。

1、文件中的秘密 解压后得到下图 一般来说杂项中的图片题，特别是简单的，先看文件属性 非常简单的得到了flag 2、wireshark 注意审题，重点是wireshark、网站、流量包、管理员密码即答案 流量包一般通过wireshark打开，如下 根据题目中“网站”这个关键词，输入http.request.method==POST 一番寻找后在HTML.URL中找到flag ...

BUUCTF之wireshark

点击右键滑到“作为过滤器应用”点击“选中”，再返回原页面，这样就显示过滤了HTTP协议相关的数据包，可以看见左上方的应用显示过滤器的输入框内容也添加了”http“，现在只有29个数据包了，我们即将开始逐个分析，点击每一个数据包，观察下面的窗口。1. 观察分组数（wireshark右下角），如果分组数量较大我们就进行协议分级进行分析，数量较小就逐个人工查看（数量小协议分级效果不明显，但还是可以优先协议分级减小工作量）。优先协议分级减小工作量，根据协议分级的结果，我们优先分析数量多占比高的协议流量。

Bit Planes里的Red，Green，Blue选项勾上0，右边Bit Order里的LSB First选择LSB First，然后Save Bin。用010打开没有发现线索，猜测为LSB隐写，用stegsolve打开文件，发现一个zip文件，save bin保存。用010打开文件，在最下面发现了一串二进制数，用二进制转换ascii在线工具解码，得到flag。保存的文件是一个二维码，使用草料二维码在线解码器解码，得到flag。解压文件，得到一个ELF文件，Linux直接运行，得到flag。

title: BUUCTF Misc date: 2021年8月18日 17点27分 tags: MISC categories: MISC 1、BUUCTF 签到题 直接告诉了flag。 2、BUUCTF 第二题(Stegsolve) 下载附件之后，得到一个gif动图。 使用Stegsolve打开。 然后一张一张的向后翻， 得到flag{he11ohongke} 3、BUUCTF 二维码（QR Research、Ziperrllo、winhex） 下载附件之后是一个zip压缩包。 解压之后得到.

CTF-BUUCTF-MISC 第二页。

buuctf misc 题解及答案

目录解题工具题目解题思路总结 解题工具 Wireshark-win64-3.0.5→下载地址https://url71.ctfile.com/f/13238771-521808015-2ec947（访问密码：8835） 题目 黑客通过wireshark抓到管理员登陆网站的一段流量包（管理员的密码即是答案) 注意：得到的 flag 请包上 flag{} 提交 解题思路 下载文件用Wireshark打开,根据题目可以分析出flag信息为管理员登陆网站时的密码,该请求方式为post类型 http.requ

4.用户在登录密码时一般不会用get方式提交，因为这样不安全，相比较而言post安全一点。5.使用http.request.method==POST命令进行过滤，得到一条流量。3.需要用到wireshark工具，用该工具打开文件。6.接下来对数据包进行追踪，得到数据包的信息。2.下载附件是一个.pcap的文件。7.得到登录密码即flag。

流量、追踪流、wireshark、二进制、ASCII码之间转化、密码爆破、Brainfuck解密

BUUCTF(Misc)——wireshark

BUUCTF 被偷走的文件 1 wireshark 截取的流量中，会截取文件传输对应的流量，也就是说，这个流量包将包括 flag.rar压缩包）一黑客入侵了某公司盗取了重要的机密文件，还好管理员记录了文件被盗走时的流量，请分析该流量，分析出该黑客盗走了什么文件。翻阅流量时找到ftp的流量，将ftp流量过滤下来。ftp协议有个ftp-data是ftp的数据通道，过滤出ftp-data的流量。用密码解压rar压缩包，得到flag.txt文件，打开得到flag。追踪ftp流量，发现流量中有flag.rar压缩包。

pcap 网络数据包文件，拖入 wireshark 流量分析

GET登录后，我们可以在在网页url地址栏中看到登录的用户名和密码，如此一来便毫无安全可言。POST是通过携带数据体传递用户登录信息，登录的数据并不会出现在URL和服务器访问日志中。使用GET方法所有参数都包含在URL中，所以访问网站的URL都会记录在服务器的访问日志中。用户登录操作常用两种方式，GET和POST。使用wireshark进行过滤，具体可看。相比于GET而言，POST就安全得多。小白一个，记录自己的刷题过程。这样就得到flag了。

此处注意，“分组列表/字节流/详情”分别对应不同的部分，后面“字符串/显示过滤器”等等，在这里笔者查的string。ctrl+F搜索flag【password精准率更高，只是我是小白，习惯先找’flag’,'ctf’等字样】亿点小尼普，winhex，kali，JP试了无果，Stegsolve照。download wireshark（上csdn搜）wireshark直接开!

BUUCTF wireshark 1 2、分析题目，需要找到管理员登陆网站的流量，并从中找到登录密码。使用“http.request.method==POST”语句过滤流量包，得到一条登录流量。3、分析这条流量，在数据包详细信息中找到登陆密码“password”，得到flag。黑客通过wireshark抓到管理员登陆网站的一段流量包（管理员的密码即是答案)下载附件，解压后得到一个.pcap文件。1、双击文件，在wireshark打开。

将文件下载之后就可以看到PCAP文件一般就是用流量分析（从题目也可以看到wireshark（这是一个流量分析文件）） 将这个文件传到linux虚拟机中然后用虚拟机中的wireshark（这个可能是kali中的自带的。好久了忘了） 将这个文件用wireshark打开，然后就可以在这里面找到登录的网站从题目中可以得到flag就是密码。点开之后最下面我们可以看到这个网站的用户名和密码（也就是flag） flag{ffb7567a1d4f4abdffdb54e022f8facd} ...