文章总结： 本文总结了CTF流量分析题的常见解题思路，涵盖图片提取、ICMP隐写、蓝牙传输、无线破解及数据包重组五大案例。文章结合实例演示了Wireshark、aircrack-ng及dd等工具的使用，详细讲解了数据流追踪、协议分析与文件修复提取的步骤，提供了高可操作性的实战技巧，适合安全竞赛参与者学习参考。 综合评分： 85 文章分类： CTF,实战经验,安全工具

题目：特殊后门 (icmp协议 信息传输)

题目来源：第七届山东省大学生网络安全 技能大赛$]

考点：字符串搜索，icmp协议信息传输

题目信息：backdoor++.pcapng

步骤：

打开数据包，搜索flag字符串。

在分组数据流中找到flagishere字符串。

查看连续的icmp包，提取每个包中的字符，组合得到flag。

蓝牙传输协议数据提取题型

导出

题目：想蹭网先解开密码 (无线密码破解)

题目来源：bugku

考点：无线密码破解

题目信息：wifi .cap

步骤：

打开数据包，查找flag字符串。

过滤WPA的四次握手包（eapol协议）。

使用aircrack-ng进行密码爆破，成功得到flag。

数据包 筛选与提取题型

WIFI认证存在四次握手包eapol协议的数据包

使用kali 的Crunch生成字典

语法：

1. crunch&nbsp;<min><max>[options]

参数：

1. min    设定最小字符串长度（必选）
2. max    设定最大字符串长度（必选）

4. oprions
5. -b     指定文件输出的大小，避免字典文件过大
6. -c     指定文件输出的行数，即包含密码的个数
7. -d     限制相同元素出现的次数
8. -e     定义停止字符，即到该字符串就停止生成
9. -f     调用库文件（/etc/share/crunch/charset.lst）
10. -i     改变输出格式，即aaa,aab -> aaa,baa
11. -I     通常与-t联合使用，表明该字符为实义字符
12. -m     通常与-p搭配
13. -o     将密码保存到指定文件
14. -p     指定元素以组合的方式进行
15. -q     读取密码文件，即读取pass.txt
16. -r     定义重某一字符串重新开始
17. -s     指定一个开始的字符，即从自己定义的密码xxxx开始
18. -t     指定密码输出的格式
19. -u     禁止打印百分比（必须为最后一个选项）
20. -z     压缩生成的字典文件，支持gzip,bzip2,lzma,7z

特殊字符

1. %代表数字
2. ^代表特殊符号
3. @代表小写字母
4. ,代表大写字符

使用aircrack-ng 对数据包进行密码爆破

使用教程： https://www.jianshu.com/p/fd16236057df

题目：抓到一只苍蝇 (数据包筛选,数据提取)

题目来源：bugku

考点：数据包筛选,数据提取

题目信息：misc_fly.pcapng

步骤：

打开数据包，搜索flag。

筛选出可疑的数据包，分析其内容。

导出原始数据，去掉文件头，合并成一个文件，解压得到flag。

先搜索flag 发现一个flag.txt文件

该数据包是通过qq邮箱传的一些文件

然后搜索关键字

通过POST传入了一个rar文件

筛选POST 协议

这里调用了2个函数，中间应该是传输的过程发送的数据包

CreateFile

CheckFile

两个文件的md5值一样然后从中间的数据包大小可以看出来

几个数据包加起来

1. 131436*4+1777=527,521减去压缩包的大小为1820这1820是5个数据包头的大小364

使用Linux可以把五个数据包包头去掉然后合成一个rar文件

具体命令dd:

1. dd if=1 bs=1 skip=364 of=1.1

3. dd命令语法：
4. if输入文件名
5. bs 设置每次读写块的大小为1字节
6. skip 指定从输入文件开头跳过多少个块后再开始复制
7. of 输出文件名

然后导出对应的文件（看分组序号） 然后倒入kali

1. ┌──(root㉿kali)-[/home/kali/test]
2. └─# dd if=1 bs=1 skip=364 of=11
3. 131072+0 records in
4. 131072+0 records out
5. 131072 bytes (131 kB,128KiB) copied,2.06969 s,63.3 kB/s

7. ┌──(root㉿kali)-[/home/kali/test]
8. └─# dd if=2 bs=1 skip=364 of=22
9. 131072+0 records in
10. 131072+0 records out
11. 131072 bytes (131 kB,128KiB) copied,2.03437 s,64.4 kB/s

13. ┌──(root㉿kali)-[/home/kali/test]
14. └─# dd if=3 bs=1 skip=364 of=33
15. 131072+0 records in
16. 131072+0 records out
17. 131072 bytes (131 kB,128KiB) copied,2.08859 s,62.8 kB/s

19. ┌──(root㉿kali)-[/home/kali/test]
20. └─# dd if=4 bs=1 skip=364 of=44
21. 131072+0 records in
22. 131072+0 records out
23. 131072 bytes (131 kB,128KiB) copied,2.04758 s,64.0 kB/s

25. ┌──(root㉿kali)-[/home/kali/test]
26. └─# dd if=5 bs=1 skip=364 of=55
27. 1413+0 records in
28. 1413+0 records out
29. 1413 bytes (1.4 kB,1.4KiB) copied,0.0234734 s,60.2 kB/s

31. ┌──(root㉿kali)-[/home/kali/test]
32. └─# ls
33. 111222333444555
34. ┌──(root㉿kali)-[/home/kali/test]
35. └─# cat 1122334455> flag.rar

37. ┌──(root㉿kali)-[/home/kali/test]
38. └─# ls
39. 111222333444555  flag.rar

然后打开压缩包发现文件头损坏

84改为80

这是个exe可执行文件

… 脏东西

binwalk 提取下

一堆png文件

然后用formost 提取出来

扫描二维码获取flag

1. https://online-barcode-reader.inliteresearch.com

3. flag{m1Sc_oxO2_Fly}

详情可查看：

1. https://www.cnblogs.com/superwinner/p/17260969.html

1. 注：文章涉及内容仅供安全研究与学习之用，若将文章相关内容做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。信息及工具收集于互联网，真实性及安全性自测！！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：凌日网络与信息安全团队 《WriteUp | CTF流量分析部分题型》