我希望网络安全的世界大家可以贡献自己的一部分,而不是拿来自私自利
作者拿到的流量包和题目是有出入的,但是因为出的题大同小异所以能分析出来
attack
1. 分 析 attack.pcapng 数 据 包 文 件 ,通 过 分 析数据 包
attack.pcapng 找出恶意用户第一次访问 HTTP 服务的数据 包是第
几号,将该号数作为 Flag 值提交;
直接过滤http流,no排列一下就能发现
一个打了sql xss cmdshell读密码,用sqlmap跑的payload
2.继续查看数据包文件 attack.pcapng,分析出恶意用户扫描
了哪些端口,将全部的端口号从小到大作为 Flag 值(形式:端口
1,端口 2,端口 3…,端口 n) 提交;
用tcp.connection.syn就能看到
扫描端口是tcp协议,tcp.connection.syn是过滤出tcp握手的流量
3.继续查看数据包文件 attack.pcapng 分析出恶意用户登录
后 台所用的密码是什么,将后台密码作为 Flag 值提交
过滤出http流
找到login.php
POST /fittingroom/login.php
username=Lancelot&password=12369874&submit=Login
用户名密码都有了
4.继续查看数据包文件 attack.pcapng 分析出恶意用户写入
的 一句话木马的密码是什么, 将一句话密码作为 Flag 值提交
过滤http流,找到登录后传的Q.php
然后看到base的木马
@ini_set(“display_errors”,“0”);@set_time_limit(0);@set_magic_quotes_runtime(0);echo(“->|”);; D = d i r n a m e ( D=dirname( D=dirname(_SERVER[“SCRIPT_FILENAME”]);if( D = = " " ) D=="") D=="")D=dirname($_SERVER["PA
解密后
这串的意思是
@ini_set(“display_errors”,“0”);临时关闭PHP的错误显示功能@set_time_limit(0);防止像dir、上传文件大马时超时@set_magic_quotes_runtime(0);关闭魔术引号,这东西在4.0以后就不怎么用了echo("->|");没啥好说的print(“hello PHP!”);输出字符串die();人如其名中国菜刀原理
5.继续查看数据包文件 attack.pcapng 分析出恶意用户下载
了 什么文件,将该文件内容作为 Flag 值提交
投机取巧的方法
如果分析出或者题目给出用户下载了什么文件,用分离软件一定能分离出来,因为下载的16进制会存在流量包里
capture
1. 使用 Wireshark 查看并分析 capture.pcapng 数据包文件,telnet 服务器是一台路由器,找出此台路由器的特权密码,并将密码作为 flag值提交
直接搜索password
即可发现密码
2.使用 Wireshark 查看并分析 capture.pcapng 数据包文件,FTP 服务器已经传输文件结束,将建立 FTP 服务器的数据连接的次数作为 flag值提交
ftp.response.code过滤出ftp协议流量
可以看到
3. 使用Wireshark 查看并分析capture.pcapng 数据包文件,web 服务器地址是192.168.181.250,将web 服务器软件的版本号作为 flag 值提交。
过滤http
找到200OK的
因为流量包有问题找不到题的ip,但是方法通用
Apache/2.4.3 (Win32) OpenSSL/1.0.1c PHP/5.4.7
4. 使用Wireshark 查看并分析apture.pcapng 数据包文件,这些数据中
有非常多的 ICMP 报文,这些报文中有大量的非正常 ICMP 报文,找
出类型为重定向的所有报文,将报文重定向的数量作为 flag 值提交。
icmp过滤出icmp协议
然后
icmp.type == 8过滤ping
icmp.type == 3过滤重定向
5. 使用 Wireshark 查看并分析 capture.pcapng 数据包文件,这些数据中有 ssh 报文,由于 ssh 有加密功能,现需要将这些加密报文的算法分析出来,将 ssh 服务器支持的第一个算法的密钥长度作为flag 值提
交。
直接过滤ssh找到ase加密
