0x00

網路通訊傳輸的是資料包，而通過WireShark等工具可以記錄下指定網絡卡或埠上經過的資料包。分析它們就可以獲取到通訊資料了。

0x01

最常見的題目直接搜尋flag對應的字串就能找到
Pwnium2014比賽中的題目，flag格式為Pwnium{xxxx}，於是直接搜尋：

這個資料包是USB的傳輸資料，以URB協議來傳輸。

0x02

Hint：入侵者通過 ping 工具對區域網內一主機進行存活性掃描， flag 為入侵所 傳送的 16 位元組的資料包內容。

百度查詢得知ping是以ICMP協議工作的，於是在過濾器（Filter）中輸入ICMP

看到只有4個包，後三個相同長度，選中開啟檢視Data發現其中正好有Length為16的Data，複製提交即可

題外話：
這個資料包還有一些其他有意思的東西，作為學習來講我們可以順便分析一下
在過濾器中輸入HTTP，就可以僅檢視HTTP的資料包

例如這裡，可以看到172.26.16.115（本機）訪問了221.130.200.45（360zip_plugin.xml），傳送了一個GET請求
然後伺服器返回了200的狀態碼
跟蹤TCP資料流可以看到更具體的上下文：

這裡大概是360在更新外掛吧

再往下翻翻，還有這裡

訪問了金山毒霸的伺服器，從目錄猜測可能是靜態css？╮(╯_╰)╭
總之~資料包分析可以暴露很多有趣的東西哦~

0x03

再下一個題目是nebula模擬器的資料傳輸
開啟看到是TCP資料流，直接右擊選中follow TCP stream可以令WireShark將該包的TCP上下文都顯示在一個新視窗中：

有興趣的同學可以抓抓自己的包，選擇合適的過濾器後看看平常都是什麼軟體在傳送什麼資訊呢~

C. 明日計劃
CTF中的資料包分析（2）