目錄

1.Networking

2.key

3.Telnet_Cmd

4.first_contact

5.SecretFile

6.郵件涉密分析

7.smtp_attachment

8.online_game

---

網絡流量分析是指捕捉網絡中流動的數據包，并通過查看包內部數據以及進行相關的協議、流量分析、統計等來發現網絡運行過程中出現的問題。

可以閱讀下文學習一下wireshark基本知識

一文精講Wireshark的抓包和分析_Junior_C的博客-CSDN博客_對wireshark抓包工具的認識

以下是題目復現? 需要環境可私信

1.Networking

此題直接選取一個數據包追蹤TCP流 就能看到flag

在追蹤流里選擇TCP流

?成功找到flag

2.key

發現有TCP數據包

通過分析數據包發送的先后順序 判斷出是192.168.228.1先發送的請求 192.168.228.135響應了請求

在過濾器中輸入 ip.src==192.168.228.135 and http

?過濾 ip.src==192.168.228.135 and http (ip.src表示源地址)

此過濾可以篩選出來自192.168.228.135的http響應包

發現有200 OK的回顯頁面 還附帶了text/html的界面 直接追蹤TCP流

?發現flag

3.Telnet_Cmd

題目描述：

?打開數據包

看到了TCP三次握手的過程 分析一下 是10.0.0.101率先發起請求的 所以它應該是黑客

過濾 ip.src==10.0.0.101 and telnet（看一下用黑客telnet發送了些什么）

?有好多數據包 直接選一個追蹤TCP流

?在文件最末尾處找到flag

4.first_contact

題目描述：

打開數據包

看到了TCP三次握手 確定128.238.118.96是機器人 107.22.208.224是墜毀的船舶

既然要知道墜毀的位置 肯定是需要找到船舶發出來的數據包 數據包里面才會存儲信息

所以過濾的源ip應該是船舶的ip

過濾 ip.addr==107.22.208.224

選取一個數據包追蹤TCP流

成功找到船舶坐標

5.SecretFile

題目描述：

打開數據包

根據TCP三次握手分析出黑客IP為10.0.0.115

過濾ip.src==10.0.0.115 （查看并進一步分析黑客具體活動）

看到三個有200 OK回顯的http數據包

點擊顯示分組字節 逐一打開查看 操作如下

在第三個數據包中看到可疑的數據

將數據顯示形式改為原始數據

50 4b 03 04 這是zip文件的文件頭格式 點擊下方的save as 將這串數值以zip文件格式保存

保存之后 解壓并打開

發現需要密碼 再回頭去數據包中尋找密碼

追蹤TCP流后 發現解壓密碼

密碼是123@pass

?成功找到flag

6.郵件涉密分析

題目描述：

打開數據包

因為是郵件傳輸 涉及到SMTP郵件傳輸協議 直接過濾smtp進行查看

追蹤TCP流

發現了郵件發送時傳輸的文件 名稱是p(1).pdf

發現發送者是3@3.3.134 接收者是3@1128.com

更改源ip發送者

將這些數據另存為eml格式的郵件文件

保存后打開

?成功找到了泄密文件的內容

7.smtp_attachment

題目描述：

打開數據包

同樣的 先過濾smtp

追蹤TCP流

通過分析 確定是10.0.0.101將文件泄密給了10.0.0.106

篩選一下

保存為eml文件

保存后打開

里面有個壓縮包 解壓一下

成功得到key

8.online_game

題目描述：

?打開數據包

大致看了一下 有ARP TCP等協議 結合題目需要找出網站的賬號和密碼

首先就想到了過濾http協議 但僅僅過濾http并不太夠

要輸入賬號密碼 就意味著有傳參 傳參有GET和POST

在網站上登錄 要將賬號和密碼發送至網站服務器進行驗證 所以是POST傳參

過濾 http.request.method=="POST"

?看到有一個login的數據包 追蹤http流

在最末尾發現了登錄的賬號和密碼

?成功找到賬號和密碼

總結

以上是生活随笔為你收集整理的数字取证wireshark流量分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。