1.flag被盗了，pcap（gnnl）

尝试http过滤，get或者post追踪tcp流即可，这里是post，

flag{This_is_a_f10g}

2.这么多数据包找找吧，先找到getshell的流pcap（vn78）

过滤tcp

TCP流通常是命令行操作

Q0NURntkb195b3VfbGlrZV9zbmlmZmVyfQ==

解码：CCTF{do_you_like_sniffer}

3.有一天皓宝宝没了流量只好手机来共享，顺便又从手机发了点小秘密到电脑，你能找到它吗？pcap（kbeg）

过滤obex

尝试导出分组字节流，无效

可以看到右侧有一个flag.gif

把选中部分粘贴到二进制编辑器中，保存为secret.rar，解压得到flag.gif。如下图

4.你能从截取的数据包中得到flag吗？

统计，发现tcp只有一条

follow stream

 

FLAG:385b87afc8671dee07550290d16a8071

 

5.黑客通过wireshark抓到管理员登陆网站的一段流量包（管理员的密码即是答案)。 flag提交形式为flag{XXXX}

flag{ffb7567a1d4f4abdffdb54e022f8facd}

6.

 

比较大，跟踪流，发现

去除点，得到sctf{Easy_Mdbus}，发现提交并不对，再结合题目提交sctf{Easy_Modbus}即可。

7.

先找到了get语句 

substring函数是取字符串的特定位置，此处参考攻防世界 Misc高手进阶区 7分题 流量分析

import re

with open("/Users/yueting/下载/4d7c14206a5c4b74a0af595992bbf439.pcapng", "rb") as f:
    contents = f.read()
    res = re.compile(r'0,1\),(\d+),1\)\)=(\d+)%23').findall(str(contents))
    dic = {}
    #取a对应b的最大值
    for a, b in res:
        if a in dic:
            if int(b) > dic[a]:
                dic[a] = int(b)
        else:
            dic[a] = int(b)
    flag = ""
    for i in range(1,39):
        flag += chr(dic[str(i)])
    print(flag)

flag{c2bbf9cecdaf656cf524d014c5bf046c}

8.

明天再来吧