总结一波最近做的流量分析题

2022DASCTF Apr X FATE 防疫挑战赛 SimpleFlow

拿到流量包我选择先foremost一下，得到了一个flag.zip,but需要密码，返回流量包，翻一下会发现在tcp.stream eq 50中有一大长串密文

在搞不清状况的情况下我们可以先base64一下
然后可以发现这样一条指令

那就去流量里找g479cf6f058cf8这个参数的密文，去掉前两位然后base64

得到密码PaSsZiPWorD

解压flag.zip得到压缩包

第二届网刃杯网络安全大赛 easyiec

直接tcp contains "flag"得到flag

第二届网刃杯网络安全大赛 carefulguy

先说一下flag的十六进制是666c6167
在tcp.stream eq 3中看到了66

往后看


这个我不会用脚本提，手动提出来，一直到35流

连起来是666c61677b7034757333313576337279316e7433726573746963397d转成16进制就是flag

第二届网刃杯网络安全大赛 喜欢移动的黑客

这个一开始打不开，要改一下文件头

然后这题目中提到发动机最多能接受10000转/分钟的转速10000的16进制为2710，所以就直接筛选modbus.data>2710

2766是十六进制，转换为10进制得到10086

包号是68156
flag{1008668156}

第二届网刃杯网络安全大赛 ncsubj

在tcp.stream eq 0里就发现三段密文，拼起来是base64



解密

然后是rot13

flag{whatancsubject}

第二届网刃杯网络安全大赛 LED_BOOM

图片里的东西base64解不出来
打开流量包发现有几个s7comm的协议包，尝试过滤一下
然后我们可以发现只有长度是123的包正好有三个（提示说要找三个响应包）

看了大佬的wp，它们的数据中有LED On或者LED Off，这也说明就是这三个包

三个包包号连起来是585692787
结合图片里的密文可以想到AES解密

flag{tietie_tietie_tiet13}