php取證

A. CTF流量分析之題型深度解析

0x01 介紹

在CTF比賽中，對於流量包的分析取證是一種十分重要的題型。通常這類題目都是會提供一個包含流量數據的pcap文件，參賽選手通過該文件篩選和過濾其中無關的流量信息，根據關鍵流量信息找出flag或者相關線索。

pcap流量包的分析通常都是通過圖形化的網路嗅探器——wireshark進行的，這款嗅探器經過眾多開發者的不斷完善，現在已經成為使用最為廣泛的安全工具之一。在之前的文章中，斗哥已經為大家介紹了 wireshark的基本使用 。接下來，斗哥將為大家介紹目前CTF流量分析中的經典題型和解題思路。

0x02 經典題型

CTF題型主要分為流量包修復、WEB流量包分析、USB流量包分析和其他流量包分析。

■ 流量包修復

比賽過程中有可能會出現通過wireshark打開題目給的流量包後提示包異常的情況，如下圖所示：

解題思路：

通過在線pacp包修復工具進行修復：

http://f00l.de/hacking/pcapfix.php

練練手

第一屆 「網路杯」 信息安全攻防總決賽 線上選拔賽：find the flag

pacp文件地址： https://static2.ichunqiu.com/icq/resources/fileupload/CTF/BSRC/2017/BSRC3-1/findtheflag.cap

■ WEB流量包分析

WEB數據包分析的題目主要出現WEB攻擊行為的分析上， 典型的WEB攻擊行為有：WEB掃描、後台目錄爆破、後台賬號爆破、WEBSHELL上傳、SQL注入等等。

題型：

通過給出的流量包獲取攻擊者使用的WEB掃描工具。

解題思路：

常見的WEB掃描器有Awvs，Netsparker，Appscan，Webinspect，Rsas（綠盟極光），Nessus，WebReaver，Sqlmap等。要識別攻擊者使用的是哪一種掃描器，可通過wireshark篩選掃描器特徵來得知。

相關命令：http contains 「掃描器特徵值」。

常見的掃描好喊器特徵參考： https://www.freebuf.com/column/156291.htm

練練手

安恆八月月賽流量分析：黑客使用的是什麼掃描器？

pacp文件地址：

鏈接： https://pan..com/s/1bGEIPeXDCbhybmWOyGr8Og 提取碼：q6ro

題型：

已知攻擊者通過目錄爆破的手段獲取了網站的後台地址，請通過給出的流量包獲取後台地址。

解題思路：

要獲取流量包中記錄的後台地址，可通過wireshark篩選後台url特徵來得知。

相關命令：http contains 「後台url特徵」。

常見後台url特徵參考： https://www.freebuf.com/column/156291.html

練練手

安恆八月月賽流友猜野量分析：黑客掃描到的後台登錄地址是什麼？

pacp文件地址：

鏈接： https://pan..com/s/1bGEIPeXDCbhybmWOyGr8Og 提取碼：q6ro

題型：

已知攻擊者通過暴力破解的手段獲取了網站的後台登陸賬號，請通過給出的流量包獲兆絕取正確的賬號信息。

解題思路：

WEB賬號登陸頁面通常採用post方法請求，要獲取流量包中記錄的賬號信息可通過wireshark篩選出POST請求和賬號中的關鍵字如『admin』。

相關命令：http.request.method=="POST" && http contains == "關鍵字"。

練練手

安恆八月月賽流量分析：黑客使用了什麼賬號密碼登錄了web後台？

pacp文件地址：

鏈接： https://pan..com/s/1bGEIPeXDCbhybmWOyGr8Og 提取碼：q6ro

題型：

已知攻擊者上傳了惡意webshell文件，請通過給出的流量包還原出攻擊者上傳的webshll內容。

解題思路：

Webshell文件上傳常採用post方法請求，文件內容常見關鍵字eval，system，assert要。獲取流量包中記錄的webshell可通過wireshark篩選出POST請求和關鍵字.

相關命令：http.request.method=="POST" && http contains == "關鍵字"

練練手

安恆八月月賽流量分析：黑客上傳的webshell文件名是？內容是什麼？

pacp文件地址：

鏈接： https://pan..com/s/1bGEIPeXDCbhybmWOyGr8Og 提取碼：q6ro

■ USB流量包分析

USB流量指的是USB設備介面的流量，攻擊者能夠通過監聽usb介面流量獲取鍵盤敲擊鍵、滑鼠移動與點擊、存儲設備的銘文傳輸通信、USB無線網卡網路傳輸內容等等。在CTF中，USB流量分析主要以鍵盤和滑鼠流量為主。

■ 鍵盤流量

USB協議數據部分在Leftover Capture Data域中，數據長度為八個位元組。其中鍵盤擊鍵信息集中在第三個位元組中。數據如下圖所示：

如上圖所示擊鍵信息為0x05，對應的按鍵為「B「。

具體的鍵位映射關系可參考：《USB鍵盤協議中鍵碼》中的HID Usage ID，鏈接： https://wenku..com/view/9050c3c3af45b307e971971e.html

題型：**

Flag藏於usb流量中，通過USB協議數據中的鍵盤鍵碼轉換成鍵位。

解題思路：

1.使用kali linux中的tshark 命令把cap data提取出來：tshark -r usb.pcap -T fields -e usb.capdata > usbdata.txt，並去除空行。

練練手

安全評測人員在對某銀行卡密碼輸入系統進行滲透測試，截獲了一段通過USB鍵盤輸入6位數字密碼的流量，其中也包含了一些其他無關的USB設備的流量，你能從中恢復出6位數字密碼嗎？最終提交的flag格式為flag。

pacp文件地址：

鏈接： https://pan..com/s/1bGEIPeXDCbhybmWOyGr8Og

提取碼：q6ro

python鍵盤鍵碼轉換腳本：同上

■ 滑鼠流量

USB協議滑鼠數據部分在Leftover Capture Data域中，數據長度為四個位元組。

其中第一個位元組代表按鍵，當取0x00時，代表沒有按鍵、為0x01時，代表按左鍵，為0x02時，代表當前按鍵為右鍵。第二個位元組可以看成是一個signed byte類型，其最高位為符號位，當這個值為正時，代表滑鼠水平右移多少像素，為負時，代表水平左移多少像素。第三個位元組與第二位元組類似，代表垂直上下移動的偏移。數據如下圖所示：

如上圖所示數據信息為0x00002000，表示滑鼠垂直向上移動20。

題型 ：

Flag藏於usb流量中，通過USB協議數據中的滑鼠移動軌跡轉換成Flag。

解題思路：

練練手

這是一道滑鼠流量分析題。

pacp文件地址：

鏈接： https://pan..com/s/1bGEIPeXDCbhybmWOyGr8Og 提取碼：q6ro

python滑鼠數據轉換腳本：同上

■ 其他流量包分析

除了常規的WEB和USB流量外，可能還存在諸如SMTP,Telnet等流量，均與WEB流量分析類似，不再贅述。

0x03 總結

以上為斗哥了解的流量分析在CTF比賽中的基本題型，歡迎大家補充。

參考：

《記一道USB流量分析CTF題》， https://blog.csdn.net/qq_36609913/article/details/78578406

CTF Wiki， https://ctf-wiki.github.io/ctf-wiki/introction/resources/

B. CTF各個方向的具體內容是什麼

如下：

Reverse

題目涉及到軟體逆向、破解技術等，要求有較強的反匯編、反編譯功底。主要考查參賽選手的逆向分析能力。

所需知識：匯編語言、加密與解密、常見反編譯工具

Pwn

Pwn 在黑客俚語中代表著攻破，獲取許可權，在 CTF 比賽中它代表著溢出類的題目，其中常見類型溢出漏洞有整數溢出、棧溢出、堆溢出等。主要考查參賽選手對漏洞的利用能力。

所需知識：C，OD+IDA，數據結構，操作系統

Web

Web 是 CTF 的主要題型，題目涉及到許多常見的 Web 漏洞，如 XSS、文件包含、代碼執行、上傳漏洞、SQL 注入等。也有一些簡單的關於網路基礎知識的考察，如返回包、TCP/IP、數據包內容和構造。可以說題目環境比較接近真實環境。

所需知識：PHP、Python、TCP/IP、SQL

Crypto

題目考察各種加解密技術，包括古典加密技術、現代加密技術甚至出題者自創加密技術，以及一些常見編碼解碼，主要考查參賽選手密碼學相關知識點。通常也會和其他題目相結合。

所需知識：矩陣、數論、密碼學

Misc

Misc 即安全雜項，題目涉及隱寫術、流量分析、電子取證、人肉搜索、數據分析、大數據統計等，覆蓋面比較廣，主要考查參賽選手的各種基礎綜合知識。

所需知識：常見隱寫術工具、Wireshark 等流量審查工具、編碼知識

Mobile

主要分為 Android 和 iOS 兩個平台，以 Android 逆向為主，破解 APK 並提交正確答案。

所需知識：Java，Android 開發，常見工具

CTF（Capture The Flag）中文一般譯作奪旗賽，在網路安全領域中指的是網路安全技術人員之間進行技術競技的一種比賽形式。CTF起源於1996年DEFCON全球黑客大會，以代替之前黑客們通過互相發起真實攻擊進行技術比拼的方式。

發展至今，已經成為全球范圍網路安全圈流行的競賽形式，2013年全球舉辦了超過五十場國際性CTF賽事。而DEFCON作為CTF賽制的發源地，DEFCON CTF也成為了目前全球最高技術水平和影響力的CTF競賽，類似於CTF賽場中的「世界盃」。

CTF 為團隊賽，通常以三人為限，要想在比賽中取得勝利，就要求團隊中每個人在各種類別的題目中至少精通一類，三人優勢互補，取得團隊的勝利。同時，准備和參與 CTF 比賽是一種有效將計算機科學的離散面、聚焦於計算機安全領域的方法。

賽事介紹

CTF是一種流行的信息安全競賽形式，其英文名可直譯為「奪得Flag」，也可意譯為「奪旗賽」。

其大致流程是，參賽團隊之間通過進行攻防對抗、程序分析等形式，率先從主辦方給出的比賽環境中得到一串具有一定格式的字元串或其他內容，並將其提交給主辦方，從而奪得分數。為了方便稱呼，我們把這樣的內容稱之為「Flag」。

CTF競賽模式具體分為以下三類：

解題模式（Jeopardy）

在解題模式CTF賽制中，參賽隊伍可以通過互聯網或者現場網路參與，這種模式的CTF競賽與ACM編程競賽、信息學奧賽比較類似，以解決網路安全技術挑戰題目的分值和時間來排名，通常用於在線選拔賽。題目主要包含逆向、漏洞挖掘與利用、Web滲透、密碼、取證、隱寫、安全編程等類別。

攻防模式（Attack-Defense）

在攻防模式CTF賽制中，參賽隊伍在網路空間互相進行攻擊和防守，挖掘網路服務漏洞並攻擊對手服務來得分，修補自身服務漏洞進行防禦來避免丟分。

攻防模式CTF賽制可以實時通過得分反映出比賽情況，最終也以得分直接分出勝負，是一種競爭激烈，具有很強觀賞性和高度透明性的網路安全賽制。在這種賽制中，不僅僅是比參賽隊員的智力和技術，也比體力（因為比賽一般都會持續48小時及以上），同時也比團隊之間的分工配合與合作。

混合模式（Mix）

結合了解題模式與攻防模式的CTF賽制，比如參賽隊伍通過解題可以獲取一些初始分數，然後通過攻防對抗進行得分增減的零和游戲，最終以得分高低分出勝負。採用混合模式CTF賽制的典型代表如iCTF國際CTF競賽。

C. 織夢如何取證

首先將你的網站進行下架，域名停止解析，然後刪除網路上的快照。再然後讓對方提供侵權證據。即使對方有提供的截圖也不要怕。你可以讓對方提供法院公證處公證材料。

織夢內容管理系統(DedeCms) 以簡單、實用、開源而聞名，是國內最知名的PHP開源網站管理系統，也是使用用戶最多的PHP類CMS系統，在經歷多年的發展，版本無論在功能，還是在易用性方面，都有了長足的發展和進步，DedeCms免費版的主要目標用戶鎖定在個人站長，功能更專注於個人網站或中小型門戶的構建，當然也不乏有企業用戶和學校等在使用該系統。‍

企業網站，無論大型還是中小型企業，利用網路傳遞信息在一定程度上提高了辦事的效率，提高企業的競爭力。DedeCMS網站建設系統做各種網站，DedeCMS是什麼，DedeCMS是一個自由和開放源碼的內容管理系統，它是一個可以獨立使用的內容發布系統（CMS）。在中國，DedeCMS屬於最受人們喜愛的CMS系統。

政府機關，通叢搭耐過建立政府門戶，有枝並利於各種信息和資源的整合，為政府和社會公眾之間加強聯系和溝通，從而使政府可以更快、更便捷、更有效開展工作。

教育機構，通過網路信息的引入，使得教育機構之間及教育機構內部和教育者之間進行信息傳遞，全面提升教育類網站的層面。

媒體機構，互聯網這種新媒體已經強而有力的沖擊了傳統媒體，在這個演變過程中，各類媒體機構應對自己核心有一個重新認識和重新發展的過程，建立一個數字技術平台以適應數字化時代的需求。

行業網站，針對不同行業滲春，強化內部的信息劃分，體現行業的特色，網站含有行業的動態信息、產品、市場、技術、人才等信息，樹立行業信息權威形象，為行業內產品供應鏈管理，提供實際的商業機會。

個人站長，興趣為主導，建立各種題材新穎，內容豐富的網站，通過共同興趣的信息交流，可以讓您形成自己具有特色的用戶圈，產生個人需求，並為其服務，個人用戶完全免費使用。

收費網站，內容收費類型的網站，用戶可以在線提供產品銷售，或者內容收費，簡單清晰的盈利模式，確保您以最小的投資，取得最大的回報。

D. PHP除法問題/1000怎麼實現 我有一個標簽{$articleid} 我想除1000,請問怎麼實現呢

floor($articleid/1000);