BUUCTF wireshark

黑客通过wireshark抓到管理员登陆网站的一段流量包(管理员的密码即是答案) 注意:得到的 flag 请包上 flag{} 提交

这个题直接到我没借助AI和wp都能做

根据提示的登录网站,打开流量包第一眼就能看到这个http包是我们要找的

追踪流,得到密码

flag{ffb7567a1d4f4abdffdb54e022f8facd}

BUUCTF 被嗅探的流量

某黑客潜入到某公司内网通过嗅探抓取了一段文件传输的数据,该数据也被该公司截获,你能帮该公司分析他抓取的到底是什么文件的数据吗? 注意:得到的 flag 请包上 flag{} 提交

根据提示,我们要找的是传输文件中的数据,文件传输一般使用 POST 请求,故先筛选出 POST 请求包

http.request.method==POST”

查看用了POST请求的http协议

剩下两个包,在JPEG包里看到了flag明文

可以用随波逐流一把梭

BUUCTF easycap

注意:得到的 flag 请包上 flag{} 提交

这个题没有提示,打开流量包全是TCP,没有特征

随便打开一条,直接分析analysis,追踪流,TCP streaming得到flag

以下是AI分析的原理

  1. 为什么不能直接看单个数据包?
    在网络传输中,数据(比如这个 Flag)通常不会作为一个整体直接发送。

分段(Segmentation):由于网络传输限制,较大的数据会被 TCP 协议拆分成许多个小的“数据段”(Segment)。

乱序与重传:这些小段在互联网中传输时,可能会走不同的路径,导致到达顺序是乱的。

控制信息干扰:每个数据包里都夹杂着大量的 MAC 地址、IP 地址、序列号(Seq)等“包装纸”。

如果你只看 Wireshark 主界面的那一行行列表,你看到的是零件;而 Flag 是藏在成品里的。

  1. “追踪 TCP 流”到底做了什么?
    当你点击 Follow TCP Stream 时,Wireshark 会利用 TCP 协议中的**序列号(Sequence Number)和确认号(Acknowledgment Number)**完成以下工作:

过滤:把所有不属于这次对话(即不属于这一对 IP 和端口)的干扰包全部踢掉。

排序:按照序列号,把乱序到达的包重新排好队。

剥壳:去掉所有的 IP 头、TCP 头等协议辅助信息。

拼接:把纯粹的“数据负载(Payload)”按顺序粘在一起。

  1. 为什么这样就能拿到 Flag?
    在 CTF 这种特定的场景下,出题人通常会模拟某种明文协议(如 HTTP、FTP、Telnet,或者是简单的 Socket 通信)来发送 Flag:

明文传输:发送方(客户端或服务器)直接把 FLAG:{…} 字符串放进 TCP 的数据区。

缺乏加密:因为没有使用 SSL/TLS 加密,数据是以肉眼可见的 ASCII 码形式存在的。

完整呈现:当你点击追踪流时,Wireshark 把这次通信的所有对话内容提取出来,Flag 就以原本的文本格式跳了出来。

打个比方:
流量包就像一堆碎纸片(数据包)。每一张纸片上可能只有一两个字母,且混杂着快递单号(协议头)。“追踪流”就是 Wireshark 帮你把属于同一个人的碎纸片找出来,拼成一张完整的信纸,你自然就能读出信上的内容了。

BUUCTF 数据包中的线索

公安机关近期截获到某网络犯罪团伙在线交流的数据包,但无法分析出具体的交流内容,聪明的你能帮公安机关找到线索吗? 注意:得到的 flag 请包上 flag{} 提交

大部分是TCP,小部分是http

在过滤器直接输入http,查看http协议

发现其中有个fenxi很可疑

直接追踪流,得到了一大堆base64,直接解码解不出来,发现其实是个图片,得到flag

被偷走的文件

一黑客入侵了某公司盗取了重要的机密文件,还好管理员记录了文件被盗走时的流量,请分析该流量,分析出该黑客盗走了什么文件。

一堆流量包,没有明显特征,挨个往下翻找,发现了flag.rar

结果居然是foremost分离压缩包,改后缀成zip,直接archpr爆破四位数密码即可

也是挺有意思的一个题

BUUCTF 秘密文件

深夜里,Hack偷偷的潜入了某公司的内网,趁着深夜偷走了公司的秘密文件,公司的网络管理员通过通过监控工具成功的截取Hack入侵时数据流量,但是却无法分析出Hack到底偷走了什么机密文件,你能帮帮管理员分析出Hack到底偷走了什么机密文件吗? 注意:得到的 flag 请包上 flag{} 提交

和上个题一模一样

这里补充一下为什么要找FTP包,以及为什么被偷走的文件要找RETR

在 FTP(文件传输协议)中,RETR 是 Retrieve(取回/检索)的缩写。它是 FTP 最核心的指令之一,简单来说,它就是 “下载文件” 的指令。

当你(或黑客)在 FTP 客户端点击“下载”某个文件时,后台就会向服务器发送一条 RETR 指令。

  1. RETR 指令的作用
    当客户端发送 RETR filename.txt 时,它在告诉 FTP 服务器:

“请把服务器上名为 filename.txt 的文件发给我。”

随后,服务器会开启一个数据通道(Data Connection),把文件的二进制内容全部传输给客户端。

  1. 在 CTF 流量分析中的意义
    在处理你提到的那种“黑客潜入并偷走文件”的 CTF 题目时,RETR 指令就是最直接的证据:

锁定目标: 通过搜索 RETR,你可以瞬间知道黑客到底“看中”并下载了哪个文件(比如 RETR secret_flag.zip)。

追踪流: 紧随 RETR 指令之后的通常就是实际的数据传输。在 Wireshark 中,你找到 RETR 包,右键点击 “Follow -> TCP Stream”,就能看到被偷走的文件的真实内容。

BUUCTF 被劫持的神秘礼物

某天小明收到了一件很特别的礼物,有奇怪的后缀,奇怪的名字和格式。小明找到了知心姐姐度娘,度娘好像知道这是啥,但是度娘也不知道里面是啥。。。你帮帮小明?找到帐号密码,串在一起,用32位小写MD5哈希一下得到的就是答案。

给了一个pcap文件,打开后直接找账户密码

追踪流

得到adminaadminb

得到结果1d240aafe21a86afc11f38a45b541a49

自己做出来的还是很开心的