概述
HackTheBox 网站CTF靶场取证相关题目Chase,题目地址https://app.hackthebox.eu/challenges/chase,主要考点为流量分析。
解题
题目概述
题目背景为服务器发出报警,要求对提取的网络流量进行分析,下载附件并解压缩得到chase.pcapng,是一个网络流量包,使用wireshark打开
流量分析
选择协议分层功能,可以看到http协议
使用http
关键字过滤,可以看到对upload.aspx、nc64.exe、cmd.aspx等路径的访问
跟踪tcp流,在stream 0中查看具体传马过程
在stream 3中可以看到执行的命令
继续跟踪,发现对文件JBKEE62NIFXF6ODMOUZV6NZTMFGV6URQMNMH2IBA.txt的访问
其对应的流量数据为
获取flag
JBKEE62NIFXF6ODMOUZV6NZTMFGV6URQMNMH2IBA.txt本身没什么,内容就是Hey there!
,文件名字本身只有大写和数字,为base32的编码格式,解码得到flag