大流量分析一
题目描述
题目要求找到黑客攻击ip。
步骤
先随便打开一个数据包,然后统计所有地址出现的次数。
发现183.129.152.140出现的最多,而且是公网ip。
然后还可以通过统计会话和端点来进一步确认。
flag{183.129.152.140}
大流量分析二
题目描述
要求找到黑客使用的钓鱼邮箱。
步骤
邮箱使用smtp协议,过滤smtp。查看由公网向内网发送的数据包。
在其中一个包中发现一段base64编码,解码是钓鱼信息,所以找到发送方:<xsser@live.cn>
flag{<xsser@live.cn>}
大流量分析三
题目描述
获取后门文件名
步骤
由于是php网站,通常在上传木马成功后会测试phpinfo返回信息。
所以在所有流量包中搜索phpinfo(或者tcp contains "phpinfo"),在最后一个流量包中找到后门文件名。
