1.1题

1.使用Wireshark查看并分析服务器场景PYsystem20191桌面下的capture1.1.pcap数据包文件,通过分析数据包capture1.1.pcap找出主机MAC地址最后两位为“ad”的经纬度信息,并将经纬度信息作为Flag值(之间以英文逗号分隔,例如:39.906000,116.645000)提交

答案为www.ld80.cn

1.2题

继续分析数据包capture1.1.pcap,找出目标服务器操作系统的版本信息,并将服务器操作系统的版本信息作为Flag值提交

先Ctrl+F打开搜索,搜索关键字Windows

1.3题

继续分析数据包capture1.1.pcap,找出黑客登录的用户名,并将用户名作为Flag值提交

先分析是什么协议的,这里为smb协议。

1.4题

继续分析数据包capture1.1.pcap,找出黑客登录使用的密码,并将密码作为Flag值提交

SMB的密码要拼接内容比较麻烦,我这里是直接字典一个一个试,莽就完事了。

1.5题

使用Wireshark查看并分析服务器场景PYsystem20191桌面下的capture1.2.pcap数据包文件,设置过滤规则,仅显示TCP协议且源端口为23的数据包,并将该过滤规则作为Flag值(提交的答案中不包含空格,例如:ip.dst == 172.16.1.1则Flag为ip.dst==172.16.1.1)提交

tcp协议src是源port是端口==是值等于23,他这个题目有问题提交tcp.port==23才可以

1.6题

继续分析数据包capture1.2.pcap,找出黑客暴力破解Telnet的数据包,将破解成功的用户名和密码作为Flag值(用户名与密码之间以英文逗号分隔,例如:root,toor)提交

首先筛选协议telnet

拉到底部然后随便选一个包,右键追踪tcp流,因为在底部都是已经连接上去的就不用一个一个去翻了。可能因为是windows所以参数会出现重复自己去掉一下。

1.7题

继续分析数据包capture1.2.pcap,找出黑客Telnet成功后输入的命令,并将命令作为Flag值提交

通过追踪tcp流可以看到执行的是ping 跟 exio和exit

题目要求执行成功的命令有多个命令用英文逗号隔开

答案为ping,exit

2.1题

使用Wireshark查看并分析PYsystem20191桌面下的capture3.pcap数据包文件,找出黑客登录被攻击服务器网站后台使用的账号密码,并将黑客使用的账号密码作为Flag值(用户名与密码之间以英文逗号分隔,例如:root,toor)提交

题目要求网站后台使用的账号密码,筛选协议http

思路是,前面都是在登入页面,下面突然有了其他页面,那么就是登入成功后就有其他页面,看一下最后一次登入页面发的包得到账号密码

2.2题

继续分析数据包capture3.pcap,找出黑客攻击FTP服务器后获取到的三个文件,并将获取到的三个文件名称作为Flag值(提交时按照文件下载的时间的先后顺序排序,使用/分隔,例如:a/b/c)提交

找出黑客攻击的FTP服务器获取3个文件,筛选Ftp协议,跟上面一样拉到最底下然后选一个包追踪流

题目要求文件名没要求后缀名提交时要注意

2.3题

继续分析数据包capture3.pcap,找出黑客登录服务器后台上传的一句话木马,并将上传前的一句话木马的文件名称作为Flag值(例如:muma)提交

找出黑客登入服务器后上传的一句话木马

有设备的都知道FileSharing.php是上传的页面直接找这个

2.4题

继续分析数据包capture3.pcap,找出黑客上传的一句话木马的连接密码,并将一句话木马的连接密码作为Flag值(例如:abc123)提交

找出黑客上传的一句话木马的连接密码,一个菜刀的操作包




2.5题

继续分析数据包capture3.pcap,找出黑客上传一句话木马后下载的服务器关键文件,并将下载的关键文件名称作为Flag值提交

因为用菜刀下载都是base64加密需要解密一下




2.6题

继续分析数据包capture3.pcap,找出黑客第二次上传的木马文件,并将该木马文件的连接密码作为Flag值(例如:abc123)提交

拉到底部可以看到一个明显的数据包带了pwd参数


2.7题

继续分析数据包capture3.pcap,找出黑客通过木马使用的第一条命令,并将该命令作为Flag值提交

找出黑客通过木马使用的第一条命令,可以看到下面有一个包参数里面带了cmd内容是base64加密解密一下就得到

2.8题

继续分析数据包capture3.pcap,找出黑客控制了受害服务器后通过受害服务器向自己发送了多少次ICMP请求,并将请求的次数作为Flag值提交

首先确定服务器ip,然后筛选icmp协议然后筛选发送方为服务器,得到数据包然后数一下

3.1题

使用Wireshark查看并分析PYsystem20191桌面下的capture2.pcap数据包文件,通过分析数据包capture2.pcap,找到黑客攻击Web服务器的数据包,并将黑客使用的IP地址作为Flag值(例如:192.168.10.1)提交

将黑客使用的IP地址作为Flag值,筛选http协议看看哪一个ip一直访问网页得到黑客ip

3.2题

使用Wireshark查看并分析PYsystem20191桌面下的capture2.pcap数据包文件,通过设置过滤规则,要求只显示三次握手协议过程中的RST包以及实施攻击的源IP地址,将该过滤规则作为Flag值(存在两个过滤规则时,使用and连接,提交的答案中不包含空格,例如tcp.ack and ip.dst == 172.16.1.1则Flag为tcp.ackandip.dst==172.16.1.1)提交

要求只显示三次握手协议过程中的RST包以及实施攻击的源IP地址,将该过滤规则作为Flag值

先找到一个RST包,

得到tcp.flags.reset == 1

以及实施攻击的源IP地址 and ip.src==192.168.13.129,拼接得到 tcp.flags.reset == 1 and ip.src==192.168.13.129,提交时把空格去掉

3.3题

继续分析数据包capture2.pcap,找到黑客扫描Web服务器的数据包,将Web服务器没有被防火墙过滤掉的开放端口号作为Flag值(若有多个端口,提交时按照端口号数字的大小排序并用英文逗号分隔,例如:77,88,99,166,1888)提交

tcp.flags.reset == 1 and tcp.srcport and ip.dst==192.168.13.128

3.4题

继续分析数据包capture2.pcap,找到黑客攻击Web服务器的数据包,将Web服务器Nginx服务的版本号作为Flag值提交

Ctrl+f打开搜索Nginx

3.5题

继续分析数据包capture2.pcap,找到黑客攻击Web服务器的数据包,将该服务器网站数据库的库名作为Flag值提交

Ctrl+f打开搜索Mysql

3.6题

继续分析数据包capture2.pcap,找出黑客成功登录网站后台管理页面所使用的用户名和密码,将使用的用户名和密码作为Flag值(用户名与密码之间以英文逗号分隔,例如:root,toor)提交

搜索password得到账号密码

这里使用的AES加密

搜索找到密钥

拿到网上去解密

3.7题

继续分析数据包capture2.pcap,找出黑客开始使用sqlmap发起sql注入攻击的时间,将发起sql注入攻击的时间作为Flag值(例如:16:35:14)提交

找到sqlmap发起攻击的时间,利用sqlmap时会把http数据包中的User-Agent值替换为sqlmap的版本以及官网我们把他应用为列

排序一下然后找到最底下那个包就是最早的

3.8题

继续分析数据包capture2.pcap,找出黑客结束使用sqlmap的时间,将结束使用sqlmap的时间作为Flag值(例如:16:35:14)提交

按照上面那题的方法得到结束时间。

 

 

 

 

Last modification:October 20, 2022
© Allow specification reprint
  • 本文作者:Juneha
  • 本文链接:https://blog.mo60.cn/index.php/archives/1.html
  • 版权声明:本博客所有文章除特别声明外,均默认采用 CC BY-NC-SA 4.0 许可协议。
  • 法律说明:
  • 文章声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任,本人坚决反对利用文章内容进行恶意攻击行为,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全,本文内容未隐讳任何个人、群体、公司。非文学作品,请勿过度理解,根据《计算机软件保护条例》第十七条,本站所有软件请仅用于学习研究用途。
如果觉得我的文章对你有用,请随意赞赏,可备注留下ID方便感谢