CSAW CTF Qualification Round 2013 Misc 50 Networking 1

0x00 题目

networking.pcap

0x01 解题

看到题目就想到应该是流量分析的题目类型,分值较低的一般都是在pcap文件中找出flag,主要考查我们流量分析和快速筛选信息的能力,我们既可以使用工具也可以使用命令:

1.使用WireShark打开pcap文件,从图中可以分析看出,这主要是通过telnet(teletype network)登陆传输数据的过程,我们知道telnet协议是TCP/IP协议族中的一员,是Internet远程登陆服务的标准协议和主要方式,基于传输层的TCP协议且通过telnet协议实现的传输的所有数据都是明文形式,包括用户名和密码,利用这一特性我们可以直接跟踪TCP数据流:

CSAW CTF Qualification Round 2013 Misc 50 Networking 1.gif

2.根据做题经验也可以直接在WireShark直接查找flag相关字符:

CSAW CTF Qualification Round 2013 Misc 50 Networking 1.2.gif

3.或者在linux上直接使用命令:

1
2
[email protected]:~# file networking.pcap
networking.pcap: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 65535)

1
[email protected]:~# grep -aEi 'ctf|flag|key' networking.pcap

或者:

1
2
3
4
5
6
7
8
9
10
[email protected]:~# strings -a networking.pcap
strings networking.pcap
38400,38400
XTERM
Ubuntu 12.04.2 LTS
hockeyinjune-virtual-machine login:
Password:
flag{d316759c281bf925d600be698a4973d5}
Login incorrect
hockeyinjune-virtual-machine login: