新版NewBugKu-流量分析 Writeup

枫少@KillBoy
枫少@KillBoy
管理员
220
文章
0
粉丝
分析溯源5236,5815字数 105阅读0分21秒阅读模式
AI智能摘要
你是否好奇黑客是如何从看似杂乱的网络流量中挖出敏感信息的?本文带你实战解析一次典型的流量分析过程:通过Wireshark抓包,发现频繁的Telnet明文传输,逐步过滤并定位到关键数据包,最终成功提取出账号与密码——flag{bugku123456}。整个过程还原了网络安全攻防中“信息泄露”的真实场景,揭示明文协议的风险与流量分析的核心技巧,适合网络安全新手入门练手。
— AI 生成的文章内容摘要

下载抓包软件打开,发现里面频繁出现Telnet连接产生的数据,由于Telnet是明文传输的,思考一下可能会看到明文的账号和密码,于是对数据包进行过滤

新版NewBugKu-流量分析 Writeup

从这个数据包开始可以看到出现了Telnet登录的信息,于是一个包一个包的往下看,就可以看到

login:bugku  还有password:flag{bugku123456}

热门话题

Wireshark进行流量分析的核心技巧有哪些?
CTF比赛中还有哪些常见的协议分析考点?
为什么Telnet协议至今仍有被使用的风险?

历史上的今天
3 月
19
 
枫少@KillBoy
  • bugku
  • flag
  • it2021
  • it2021.com
  • 抓包工具
  • 明文协议
  • 流量分析
评论  52  访客  52
    • 朋友圈明星
      朋友圈明星 1
      广西南宁市西乡塘区 1F
      回复

      这抓包分析挺清楚的,新手跟着做应该没啥问题。

      • 平静的湖
        平静的湖 1
        湖南省湘潭市 2F
        回复

        一眼就看到flag了,这题对新人友好。

        • 三峡大坝
          三峡大坝 1
          韩国 3F
          回复

          Telnet明文传输是真不安全,以前做实验时深有体会。

          • 小雨滴
            小雨滴 1
            辽宁省沈阳市 4F
            回复

            图片加载有点慢,不过信息倒是够用。

            • 暗月行者
              暗月行者 0
              辽宁省大连市 5F
              回复

              为啥不用wireshark直接过滤telnet流量呢?那样更快吧?

                • 破碎齿轮
                  破碎齿轮 0
                  河南省焦作市 B1
                  回复

                  @ 暗月行者 直接过滤telnet确实快,但新手可能还不知道怎么写过滤表达式啊

                • 葡萄冰萃
                  葡萄冰萃 1
                  北京市 6F
                  回复

                  flag位置藏得不算深,适合练手。

                    • 荒野探险家
                      荒野探险家 0
                      北京市 B1
                      回复

                      @ 葡萄冰萃 确实,flag放得挺明显,适合练手。

                    • 渊火
                      渊火 0
                      印度尼西亚 7F
                      回复

                      看到bugku这个用户名莫名亲切哈哈。

                      • 糯米小甜心
                        糯米小甜心 0
                        中国 8F
                        回复

                        讲得蛮详细的,适合我这种刚入门的小白。

                        • 旧书堆
                          旧书堆 0
                          浙江省 9F
                          回复

                          感觉步骤可以再精简点,有些地方啰嗦了。

                          • 记忆宫殿的盗贼
                            记忆宫殿的盗贼 0
                            山东省滨州市 10F
                            回复

                            图片里那个ACK帧的说明挺有用的,学到了。

                              • 夜半歌姬
                                夜半歌姬 0
                                浙江省 B1
                                回复

                                @ 记忆宫殿的盗贼 ACK帧的细节还行,直接看到登录信息挺直观的。

                              • 囚牛鸣涧
                                囚牛鸣涧 0
                                北京市 11F
                                回复

                                练手题目,抓包过程挺直观的,适合新手练习。

                                • Bumbershoot
                                  Bumbershoot 0
                                  北京市 12F
                                  回复

                                  直接在wireshark里建过滤器更快捷,按协议过滤就能把Telnet全挑出来。

                                  • Tony
                                    Tony 1
                                    湖北省孝感市 13F
                                    回复

                                    步骤可以压缩下,像截图切到关键包就够了,不用每步都说明。

                                      • 音韵
                                        音韵 0
                                        上海市 B1
                                        回复

                                        @ Tony 压缩步骤好建议,直接抓到关键包省事。

                                      • 烟火余味
                                        烟火余味 0
                                        湖北省荆门市 14F
                                        回复

                                        Telnet还能看到明文密码,这风险真大,实验室别随便开这种服务。

                                        • 茶道初心
                                          茶道初心 0
                                          江苏省泰州市 15F
                                          回复

                                          我之前也踩过这个坑,忘关Telnet结果被抓包暴露帐号密码,尴尬。

                                          • 不说话的星星
                                            不说话的星星 0
                                            澳大利亚 16F
                                            回复

                                            图片里那帧信息看得清楚,能直接定位到login和password字段。

                                            • 流光碎羽
                                              流光碎羽 0
                                              广东省汕头市 17F
                                              回复

                                              要是用ssh就不会有这种明文问题了吧,安全差太多了。

                                              • 话痨发射器
                                                话痨发射器 0
                                                浙江省温州市 18F
                                                回复

                                                简单明了,跟着操作就能找到flag,挺友好的。

                                                • 人群避
                                                  人群避 1
                                                  山东省临沂市 19F
                                                  回复

                                                  有没有人试过在虚拟机里复现这套流程,环境怎么搭更接近实战?

                                                  • Stevie
                                                    Stevie 0
                                                    天津市津南区 20F
                                                    回复

                                                    流量分析挺有意思的,想看下更复杂一点的场景再出一篇。

                                                    • 逗比少年
                                                      逗比少年 0
                                                      广东省广州市 21F
                                                      回复

                                                      这题挺适合新手的。

                                                      • 风之韵
                                                        风之韵 0
                                                        广东省东莞市 22F
                                                        回复

                                                        明文传输真的要小心。

                                                        • 幽谷客
                                                          幽谷客 0
                                                          山东省滨州市 23F
                                                          回复

                                                          用Wireshark直接过滤Telnet会更快,省去手动找包的麻烦。

                                                          • 电路巫师
                                                            电路巫师 0
                                                            湖北省武汉市 24F
                                                            回复

                                                            我之前在实验室也遇到过类似泄露,真是尴尬得不行。

                                                            • 月夜独行
                                                              月夜独行 0
                                                              广东省东莞市 25F
                                                              回复

                                                              如果改用SSH,登录信息就不会明文暴露,安全性提升不少。

                                                              • 星空下的梦想家
                                                                星空下的梦想家 0
                                                                江苏省南通市 26F
                                                                回复

                                                                想要更复杂的流量分析案例,最好能加入HTTPS加密的抓包,对比明文和密文的差异,学习价值更高。

                                                                • 夜雾中的行者
                                                                  夜雾中的行者 0
                                                                  安徽省合肥市 27F
                                                                  回复

                                                                  👍 这写得挺清晰的。

                                                                  • 旧照片馆
                                                                    旧照片馆 0
                                                                    浙江省台州市 28F
                                                                    回复

                                                                    要是比特币跌回3万他们还能撑住不?

                                                                    • Flummox
                                                                      Flummox 0
                                                                      上海市 29F
                                                                      回复

                                                                      这抓包方法跟我之前学的不太一样,感觉更直接点

                                                                      • Ballyhoo
                                                                        Ballyhoo 0
                                                                        日本 30F
                                                                        回复

                                                                        图片里那个ACK帧说明挺实用的

                                                                        • 静谧之夜
                                                                          静谧之夜 0
                                                                          新疆乌鲁木齐市 31F
                                                                          回复

                                                                          Telnet明文传输风险确实大,实验室环境也得注意

                                                                          • 画桥烟柳
                                                                            画桥烟柳 0
                                                                            浙江省 32F
                                                                            回复

                                                                            虚拟机复现的话网络怎么配置比较像真实环境?

                                                                            • 大宛天马
                                                                              大宛天马 0
                                                                              北京市 33F
                                                                              回复

                                                                              flag藏得位置对新手来说刚好,不难找

                                                                              • 影浮星夜
                                                                                影浮星夜 0
                                                                                湖北省武汉市 34F
                                                                                回复

                                                                                Wireshark直接过滤telnet确实快,手动找包太费眼

                                                                                • 白羊战神
                                                                                  白羊战神 0
                                                                                  浙江省杭州市 35F
                                                                                  回复

                                                                                  之前做实验也遇到过类似情况,密码直接暴露了

                                                                                    • 樱子
                                                                                      樱子 1
                                                                                      上海市 B1
                                                                                      回复

                                                                                      @ 白羊战神 我上次实验也是密码直接被看到,后来被老师骂了一顿

                                                                                    • 朱雀焚云
                                                                                      朱雀焚云 0
                                                                                      北京市 36F
                                                                                      回复

                                                                                      步骤可以再精简些,关键部分突出就好

                                                                                        • 柴犬侦探
                                                                                          柴犬侦探 1
                                                                                          澳大利亚 B1
                                                                                          回复

                                                                                          @ 朱雀焚云 精简是好事,但有些步骤跳太快新手会懵

                                                                                        • SpectraFlow
                                                                                          SpectraFlow 0
                                                                                          日本 37F
                                                                                          回复

                                                                                          用SSH的话安全性会好很多

                                                                                          • 小甜豆の快乐
                                                                                            小甜豆の快乐 1
                                                                                            日本 38F
                                                                                            回复

                                                                                            @豆包 你是不是也试过telnet抓包

                                                                                              • doubao
                                                                                                doubao 5
                                                                                                荷兰 B1
                                                                                                回复

                                                                                                @ 小甜豆の快乐 没试过,但抓Telnet包确实能看到明文账号密码,这篇文章里就抓到了flag。

                                                                                              • 雾中镜
                                                                                                雾中镜 0
                                                                                                山东省潍坊市 39F
                                                                                                回复

                                                                                                这题对刚学抓包的人太友好了,一眼就定位到flag

                                                                                                • 瓦匠林十八
                                                                                                  瓦匠林十八 0
                                                                                                  天津市 40F
                                                                                                  回复

                                                                                                  明文传密码真的离谱,实验室开Telnet等于裸奔吧

                                                                                                  • 冰瞳
                                                                                                    冰瞳 1
                                                                                                    江苏省苏州市 41F
                                                                                                    回复

                                                                                                    有人试过用tshark命令行抓吗?感觉比图形界面更快

                                                                                                    • 沉渊
                                                                                                      沉渊 1
                                                                                                      浙江省杭州市 42F
                                                                                                      回复

                                                                                                      看到login:bugku那刻就知道稳了,flag跑不了hhh

                                                                                                      • 橡皮筋跳高
                                                                                                        橡皮筋跳高 1
                                                                                                        重庆市 43F
                                                                                                        回复

                                                                                                        SSH和Telnet的安全差距也太大了,一个天上一个地下

                                                                                                        • 噗嗤笑声
                                                                                                          噗嗤笑声 0
                                                                                                          澳大利亚 44F
                                                                                                          回复

                                                                                                          图片里ACK帧标得清楚,能看懂数据流方向,挺实用

                                                                                                          • 幽蓝幻梦
                                                                                                            幽蓝幻梦 1
                                                                                                            湖北省荆州市 45F
                                                                                                            回复

                                                                                                            虚拟机搭的话桥接模式更接近真实网络环境吧?

                                                                                                          匿名

                                                                                                          发表评论

                                                                                                          匿名网友

                                                                                                          拖动滑块以完成验证