2018.5.18信息安全铁人三项赛数据赛复现

前言：

流量分析不同与之前的CTF题，感觉没有那么多脑洞，考察的就是对协议的理解程度，所以还是要多做做，多学习!

题目描述

1.黑客的IP是多少

2.服务器1.99的web服务器使用的CMS及其版本号(请直接复制)

3.服务器拿到的webshell的网址(请输入url解码后的网址)

4.服务器1.99的主机名

5.网站根目录的绝对路径(注意最后加斜杠)

6.黑客上传的第一个文件名称是什么

7.黑客进行内网扫描，扫描的端口都有哪些(端口从小到大，用英文逗号分隔)

8.服务器2.88的ftp服务账号密码(格式：账号/密码)

9.黑客成功登陆ftp的时间(格式：10:15:36)

10.黑客在ftp中下载的敏感文件名称是什么

11.服务器2.88中用户名为admin_zz的web后台管理员的密码

12.服务器2.88的mysql账号密码(格式：账号/密码)

13.服务器2.88的mysql服务中有和admin有关的三个表，请按照黑客的查询顺序作答，使用空格分隔

14.请列出黑客设置的genreal log的绝对路径(将路径复制出来，区分大小写)

15.路由器的品牌、型号、版本(请直接复制粘贴)

16.列出路由器的所有IP地址(格式：从小到大，用英文逗号分隔)

17.在路由器的端口监控中，监控端口和被监控端口分别是多少，例，1号端口监控2/3/4号端口:1-->2,3,4

18.路由器一共有几个接口?其中有几个WAN口启用?有几个LAN口启用(格式:用英文逗号分隔)

19.路由器的系统路由表中一共有几条?第三条的子网掩码是多少。例: 255 255.255.0则为24 (格式:用英文逗号分隔)

20.路由器的5Gwif名称是什么，信道是多少(格式:名称信道)

做题过程

0x00:黑客的IP是多少

先打开第一个数据包data-1_00001_20180205135424

数据包中有很多的IP地址

但是判断哪个是黑客的IP不能单凭从哪个IP数量多出发，需要看有明显的特征那种

过滤一下请求方式

http.request.method==POST

看到这么明显的特征，所以可以判断黑客的IP

黑客的IP:202.1.1.2

0x01:服务器1.99的web服务器使用的CMS及其版本号

知道了黑客的IP地址，再次进行过滤

ip.addr == 202.1.1.2  && http

找一个192.168.1.99响应包，查询下Powered by

使用的CMS及其版本号:EasyTalk X2.0.1

0x02:服务器拿到的webshell的网址(请输入url解码后的网址)

过滤后

ip.addr == 202.1.1.2  && http

随便找一个包，发现

解码后为

webshell的网址:
http://202.1.1.1/index.php/module/action/param1/${
   7B@print(eval($_POST[c]))}

0x03:服务器1.99的主机名

在相同的过滤方法中，发现有phpin