0x00 题目
![CSAW CTF Qualification Round 2013: Misc 50 Networking 1]()
![CSAW CTF Qualification Round 2013: Misc 50 Networking 1]()
networking.pcap
0x01 解题看到题目就想到应该是流量分析的题目类型,分值较低的一般都是在pcap文件中找出flag,主要考查我们流量分析和快速筛选信息的能力,我们既可以使用工具也可以使用命令:
1.使用WireShark打开pcap文件,从图中可以分析看出,这主要是通过telnet(teletype network)登陆传输数据的过程,我们知道telnet协议是TCP/IP协议族中的一员,是Internet远程登陆服务的标准协议和主要方式,基于传输层的TCP协议且通过telnet协议实现的传输的所有数据都是明文形式,包括用户名和密码,利用这一特性我们可以直接跟踪TCP数据流:
2.根据做题经验也可以直接在WireShark直接查找flag相关字符:
3.或者在linux上直接使用命令:
root@kali:~# file networking.pcap networking.pcap: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 65535) root@kali:~# grep -aEi 'ctf|flag|key' networking.pcap或者:
root@kali:~# strings -a networking.pcap strings networking.pcap 38400,38400 XTERM Ubuntu 12.04.2 LTS hockeyinjune-virtual-machine login: Password: flag{d316759c281bf925d600be698a4973d5} Login incorrect hockeyinjune-virtual-machine login: