家在深圳论坛,泉州做网站优化,重庆沙坪坝二手房出售信息,WordPress模板转换typecho目录 1、流量分析2、寻找flag3、总结 1、流量分析
把流量包下载下来进行分析#xff0c;得到下面这些信息 通过追踪HTTP流#xff0c;我们可以很明显的感觉到是对42.193.4.49进行目录爆破 追踪流给出的信息是不完整的#xff0c;我们只是用来推测大概的过程#xff0c;了解… 目录 1、流量分析2、寻找flag3、总结 1、流量分析
把流量包下载下来进行分析得到下面这些信息 通过追踪HTTP流我们可以很明显的感觉到是对42.193.4.49进行目录爆破 追踪流给出的信息是不完整的我们只是用来推测大概的过程了解一下这个数据包是怎么回事以下是分析出来的结果
黑客打进了网站找到了敏感信息 时间2021年 11月15日 源IP 192.168.26.232 目IP 192.168.26.2 http://42.193.4.49/admin123.php 公IP34.120.208.123 公IP23.52.171.224 网站IP42.193.4.49这个是PHP网站从黑客对网站的爆破字典中推测出来的 192.168.26.232对网站IP42.193.4.49进行目录爆破 ETag: “1b2c-54dd569907180” 公网IP120.253.255.97
2、寻找flag
这个流量包就是一个目录爆破的我们要寻找flag直接搜索敏感关键字先搜索flaghttp contains “flag” 出现了三条数据我们一个个查看感觉flag应该是在第二条 因为这个流量包大部分是192.168.26.232对网站IP 42.193.4.49进行目录爆破最后的结果应该是由42.193.4.49返回根据题目的提示是黑客攻击了我们朋友的网站并且获取到了敏感的信息那flag应该出现在42.193.4.49返回的信息中所以flag应该是bm93X3lvdV9jYW5fc3VibWl0X2ZsYWcy\t|\t\r\n这段数值感觉是加密的先试一下base64解密
https://base64.us/第一个flag值到手now_you_can_submit_flag2这个flag出现在第3664个 我们继续搜索敏感特征http contains “part” 就两条那我们就仔细去看发现Form item: “content” “oh_you_got_the_part_3”再看看有没有其它的没有了这个是出现在7315
因为我们的流量包是目录爆破的当攻击者爆破成功会返回200的响应码我们去搜索200的响应码http.response.code200一个个去看我们翻到了一条流量数据他有引起我们兴趣的字符cat f111111114g.txt这不就是存放flag的文件吗 继续往下面翻一番上面这条的下面就有一串base64加密的字符串我们把它拿去解码一下
50a026070cDRydDFfeTAwX3lvdV9jcmFja19teV93cHdlYg\n因为50a026070是蚁剑混淆返回包生成的所以要去掉实际上我们是拿cDRydDFfeTAwX3lvdV9jcmFja19teV93cHdlYg去解码 得到p4rt1_y00_you_crack_my_wpweb这个是3199
三段flag按照出现的先后顺序拼一下应该是ctfshow{p4rt1_y00_you_crack_my_wpweb_now_you_can_submit_flag2_oh_you_got_the_part_3}
3、总结
http.request.methodPOST http contains “upload” base64密文特征64个字符(A-Z,a-z,0-9,,/)组成末尾可能会有1或2个’’ 最多有2个
