前言:
流量分析不同与之前的CTF题,感觉没有那么多脑洞,考察的就是对协议的理解程度,所以还是要多做做,多学习!
题目描述
1.黑客的IP是多少
2.服务器1.99的web服务器使用的CMS及其版本号(请直接复制)
3.服务器拿到的webshell的网址(请输入url解码后的网址)
4.服务器1.99的主机名
5.网站根目录的绝对路径(注意最后加斜杠)
6.黑客上传的第一个文件名称是什么
7.黑客进行内网扫描,扫描的端口都有哪些(端口从小到大,用英文逗号分隔)
8.服务器2.88的ftp服务账号密码(格式:账号/密码)
9.黑客成功登陆ftp的时间(格式:10:15:36)
10.黑客在ftp中下载的敏感文件名称是什么
11.服务器2.88中用户名为admin_zz的web后台管理员的密码
12.服务器2.88的mysql账号密码(格式:账号/密码)
13.服务器2.88的mysql服务中有和admin有关的三个表,请按照黑客的查询顺序作答,使用空格分隔
14.请列出黑客设置的genreal log的绝对路径(将路径复制出来,区分大小写)
15.路由器的品牌、型号、版本(请直接复制粘贴)
16.列出路由器的所有IP地址(格式:从小到大,用英文逗号分隔)
17.在路由器的端口监控中,监控端口和被监控端口分别是多少,例,1号端口监控2/3/4号端口:1-->2,3,4
18.路由器一共有几个接口?其中有几个WAN口启用?有几个LAN口启用(格式:用英文逗号分隔)
19.路由器的系统路由表中一共有几条?第三条的子网掩码是多少。例: 255 255.255.0则为24 (格式:用英文逗号分隔)
20.路由器的5Gwif名称是什么,信道是多少(格式:名称信道)
做题过程
0x00:黑客的IP是多少
先打开第一个数据包data-1_00001_20180205135424
数据包中有很多的IP地址
但是判断哪个是黑客的IP不能单凭从哪个IP数量多出发,需要看有明显的特征那种
过滤一下请求方式
http.request.method==POST
看到这么明显的特征,所以可以判断黑客的IP
黑客的IP:202.1.1.2
0x01:服务器1.99的web服务器使用的CMS及其版本号
知道了黑客的IP地址,再次进行过滤
ip.addr == 202.1.1.2 && http
找一个192.168.1.99
响应包,查询下Powered by
使用的CMS及其版本号:EasyTalk X2.0.1
0x02:服务器拿到的webshell的网址(请输入url解码后的网址)
过滤后
ip.addr == 202.1.1.2 && http
随便找一个包,发现
解码后为
webshell的网址:
http://202.1.1.1/index.php/module/action/param1/${
7B@print(eval($_POST[c]))