陇剑杯 省赛 攻击者3 CTF wireshark 流量分析

陇剑杯 省赛 攻击者3 CTF wireshark 流量分析

题目

链接：https://pan.baidu.com/s/1KSSXOVNPC5hu_Mf60uKM2A?pwd=haek 
提取码：haek
├───LogAnalize
│   ├───linux简单日志分析
│   │       linux-log_2.zip
│   │
│   ├───misc日志分析
│   │       access.log
│   │
│   ├───misc简单日志分析
│   │       app.log
│   │
│   ├───sql注入分析
│   │       SQL.zip
│   │
│   └───windows日志分析
│           security-testlog_2.zip
│
├───ProvinceAttacker
│   └───pcap
│           01 Web.pcapng
│           02 DC.pcapng
│           02 Web-ToInternet.pcapng
│           02 Web-ToIntranet.pcapng
│           03 Web.pcapng
│           pcap.zip
│
└───TrafficAnalize
    ├───ios
    │       ios.zip
    │
    └───webshell
            hack.pcap

本文题目在ProvinceAttacker中，03 Web.pcapng

3-1

第三个攻击者对应流量包[03 Web.pcapng]。第三个攻击者利用Web服务器的漏洞成功登录后台，请提交第三个攻击者的IP地址。

flag

10.20.24.155

3-2

分析第三个攻击者登录Web服务管理后台的方式，提交攻击者利用exp的时间，以北京时间为准，如2021年12月1日12:00:00，则提交格式：01/Dec/2021:12:00:00。

flag

23/Dec/2021:20:47:07

3-3

第三个攻击者上传webshell后创建了后门用户，请提交攻击者创建的后门账户名称及创建时间，格式：user,2021/12/01/12:00:00。

3-4

第三个攻击者上传了恶意脚本用于反弹shell，请提交该脚本的MD5值。

这题爆0，乐了

3-5

第三个攻击者对反弹shell行为进行了持久化，请提交攻击者利用的持久化项中回连的端口号。

3-6

第三个攻击者对Web主页进行了篡改，请提交攻击者上传篡改后主页文件的事件，格式：2021年12月1日,12:00

3-7

第三个攻击者使用的冰蝎木马的key是？

webshell马的文件里

flag

e45e329feb5d925b