【CTFshow 电子取证】套的签到题

复制代码
🍬 博主介绍

👨‍🎓 博主介绍:大家好,我是 hacker-routing ,很高兴认识大家~
✨主攻领域:【渗透领域】【应急响应】 【Java、PHP】 【VulnHub靶场复现】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

目录

1、前言

2、flag1

3、flag2

4、flag3


1、前言

解压缩流量包的密码:

cs 复制代码
A_H@_H3re_15_Ur_PaSSuu0rd_S4y_tk5_f0r_Taoshen!!!

利用wearshark打开:

2、flag1

经题目介绍,说这个流量包是记录作者网站被偷了,并且还拿到了作者平台的信息,那么很有可能hack利用了某些比如蚁剑之类的工具连接,上传了某些PHP木马文件子类的,这个我们需要首先考虑。

利用检索语句,挨个看php后缀的包,发现一个upload文件上传的包,我们追踪流细看下,但是没有什么发现,但是验证了我们开始说的,hack应该就是上传了某php木马

cs 复制代码
tcp contains "php"

我们验证下有没有什么POST之类的包,使用过滤语句筛选下,发现存在很多的POST包,

php 复制代码
http.request.method==POST

这个流量特征之前见过,是蚁剑的流量特征,蚁剑命令执行的流量是通过base64混淆的,往后翻翻,感觉还没完,大家再在http包里面检索"50a026070",这个是蚁剑的特征,发现一串base64编码的字符串

cs 复制代码
50a026070

50a026070cDRydDFfeTAwX3lvdV9jcmFja19teV93cHdlYg==\n

50a026070这九位也是蚁剑混淆返回包生成的,base解密时候要去除

拿到flag1:p4rt1_y00_you_crack_my_wpweb

3、flag2

我这里发现登录包,存在很多404,像是存在爆破

cs 复制代码
tcp contains "php"

一直检索,然后挨个看包,突然看到了flag下面有一串像是base64编码的字符串

成功拿到了flag2,now_you_can_submit_flag2

4、flag3

在http流量包里面,看到了这个账号和密码,其实我看一些WP里面,这里是可以找到这个登录的url的,然后输入账号密码,就可以在作者的博客里面找到flag3了

但是我这里访问不了,就一个一个流量包看,看的我头都晕了!!!

但是最终还是找到了flag,oh_you_got_the_part_3

最终答案为:ctfshow{p4rt1_y00_you_crack_my_wpweb_now_you_can_submit_flag2_oh_you_got_the_part_3}

相关推荐
MOON404☾37 分钟前
基于TCP的简易端口扫描器
网络·tcp/ip·php
猫耳君2 小时前
汽车网络安全 CyberSecurity ISO/SAE 21434 测试之四
安全·web安全·网络安全·汽车·测试·security·cybersecurity
come112343 小时前
Go vs. PHP:核心优势劣势对比
开发语言·golang·php
歪歪1008 小时前
Http与WebSocket网络通信协议的对比
网络·websocket·网络协议·计算机网络·http·网络安全·信息与通信
David WangYang9 小时前
便宜的自制 30 MHz - 6 GHz 矢量网络分析仪
开发语言·网络·php
云动雨颤9 小时前
程序出错瞎找?教你写“会说话”的错误日志,秒定位原因
java·运维·php
某不知名網友11 小时前
I/O 多路转接之 epoll:高并发服务器的性能利器
开发语言·php
lingggggaaaa11 小时前
小迪安全v2023学习笔记(九十讲)—— 小程序篇&反编译&外在&主包分包&配置泄露&算法逆向&未授权
笔记·学习·安全·web安全·网络安全·小程序
长安——归故李13 小时前
【PLC程序学习】
java·c语言·javascript·c++·python·学习·php
猫头虎14 小时前
如何利用海外 NetNut 网络代理与 AICoding 实战获取 iPhone 17 新品用户评论数据?
网络·人工智能·计算机网络·网络安全·ios·网络攻击模型·iphone