7 13刷題記錄(流量取證)

2022-06-26 01:27:11 字數 1453 閱讀 4258

今天刷了『工控安全取證』 ,題目描述:有黑客入侵工控裝置後在內網發起了大量掃瞄,而且掃瞄次數不止一次。 請分析日誌,指出對方第4次發起掃瞄時的資料報的編號,flag形式為 flag{}

首先得到乙個log檔案,開啟看了下亂碼,結合他讓找出資料報的編號,改成.pcap的字尾

然後wireshark成功開啟。接著我們看到一堆的請求tcp,icmp。然後箭頭這就是要找到編號的那一列

然後根據常規的掃瞄,基本就是icmp協議了。所以簡單粗暴的直接篩選icmp。然後這個滾輪看著就少多了,也就十幾條,隨便試個10次其實答案就出來了。

為了更簡單的定位到flag的編號,嘿嘿,我們來用時間來判斷。

根據不同的ip網段,從下往上,來分辨出最後的ip達到的編號。即最終的flag

不曉得為啥子,感覺我的思考和出題獅虎的想法不一樣。。可能我的腦袋開光了吧。。

簡單的流量分析

描述:不久前,運維人員在日常安全檢查的時候發現現場某裝置會不時向某不知名ip發出非正常的icmp ping包。這引起了運維人員的注意,他在過濾出icmp包分析並馬上開始做應急處理很可能已被攻擊的裝置。運維人員到底發現了什麼?flag形式為 flag{}

都是icmp,所以前面寫的文章裡的方法就不能用了

仔細觀察,這裡面啥密碼都不是也沒明顯標誌,更沒有傳說中的=號//不然聯合起來能湊一桌麻將??咳咳所以不是拼接。

仔細觀察,也沒有什麼隱寫手法,所以下面的都廢了。。

然後裡面的length大量的重複,所以肯定不是它。

然後思考到資料報的長度,是變化的,所以寫個指令碼,取出資料報的長度,然後看出來是ascii碼,解碼,之後是base64解密。出flag

OI刷題記錄

2014 4 18 poj3264 bzoj1699 balanced lineup rmq 2014 4 19 bzoj1012 jsoi2008 最大數maxnumber noi2004 鬱悶的出納員 bzoj3224 tyvj 1728 普通平衡樹 2014 4 20 bzoj1862 105...

面試刷題記錄

寫一段 判斷乙個包括 的表示式是否合法 注意看樣例的合法規則。給定乙個表示式a,請返回乙個bool值,代表它是否合法。測試樣例 a b 5 4 返回 true 測試樣例 a b 5 4 返回 false include vector include iostream using namespace ...

刷題記錄 2015 11 14

現在每天做的題都記錄一下,免得不知道自己在幹什麼。poj2406 用next陣列的定義求迴圈節 poj3261 字尾陣列 題 spoj705 同上,這題我wa了幾次,結果發現 我以為字串只有大寫字母,其實有小寫。如下 poj2406 author duyixian date 2015 11 14 1...