需要数据包私
1.通过分析虚拟机windows7桌面上的数据包B.pcapng,找到数据库里的flag最后一个字符是什么,将该字符作为FLAG提交;
2.通过分析数据包B.pcapng,找到黑客扫描到的主机IP是多少将该IP作为FLAG提交;
3.通过分析数据包B.pcapng,找到服务器的内核版本是多少,将该版本信息作为FLAG提交;
4.通过分析数据包B.pcapng,找到黑客扫描网段的命令是什么?,将该命令作为FLAG提交;
5.通过分析数据包B.pcapng,找到黑客通过一句话木马上传的第一个文件是什么,将文件名作为FLAG提交;
6.通过分析数据包B.pcapng,找到黑客从服务器上下载的文件,将文件内容作为FLAG提交
首先这个包还是有难度的,第一道题目是找到数据库中flag最后一个字符,通过搜索字符串flag找出:
}
下一道题目就是找到靶机的ip地址:
直接上一个过滤规则:tcp.flags.reset==1这个就看有没有存活:
192.168.10.12
下一道题目就是找到内存版本号:
那就是肯定是进行了渗透,我们找一下http包:
找到一个m.php:
内核版本号就找到了。
下一道题目找到黑客扫描网段的命令:
发现http数据包中开始上传文件,于是我们看一下上传了什么文件:
发现少了一个socket.py的文件,顺着这个思路继续寻找:
发现一行base64编码,解码看一下是什么东西:
发现了执行的命令,扫描网段的命令就是这个。
python RASscan.py 192.168.10.10 192.168.10.110 -t 20 > log.txt
下一道题目就是连接一句话木马之后上传第一个文件是什么。
那就顺着刚才包的思路继续寻找:
那就是socks.py这个文件。
下一道题目就是找到从服务器上下载文件并从其中得到flag。
我们使用导出http文件导出m.php中最大的那个包:
导出:
导出之后是一个压缩包,压缩包中有一张图片,但是无法打开图片,
但是查看16进制确实是图片的格式,那就只有一种可能16进制被被人修改:
我们使用两张图片的值进行对比:
正常:
看到了嘛,图片的头步删掉了一些东西,我们现在将图片少的东西进行插入:
得到flag:
2133
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
