目录
- 1、流量分析
- 2、寻找flag
- 3、总结
1、流量分析
把流量包下载下来进行分析,得到下面这些信息
通过追踪HTTP流,我们可以很明显的感觉到是对42.193.4.49进行目录爆破
追踪流给出的信息是不完整的,我们只是用来推测大概的过程,了解一下这个数据包是怎么回事,以下是分析出来的结果:
黑客打进了网站,找到了敏感信息
时间2021年 11月15日
源IP 192.168.26.232
目IP 192.168.26.2
http://42.193.4.49/admin123.php
公IP:34.120.208.123
公IP:23.52.171.224
网站IP:42.193.4.49,这个是PHP网站,从黑客对网站的爆破字典中推测出来的
192.168.26.232对网站IP42.193.4.49进行目录爆破
ETag: “1b2c-54dd569907180”
公网IP:120.253.255.97
2、寻找flag
这个流量包就是一个目录爆破的,我们要寻找flag,直接搜索敏感关键字,先搜索flag,http contains “flag”
出现了三条数据,我们一个个查看,感觉flag应该是在第二条
因为这个流量包大部分是192.168.26.232对网站IP 42.193.4.49进行目录爆破,最后的结果应该是由42.193.4.49返回,根据题目的提示,是黑客攻击了我们朋友的网站并且获取到了敏感的信息,那flag应该出现在42.193.4.49返回的信息中,所以flag应该是bm93X3lvdV9jYW5fc3VibWl0X2ZsYWcy\t|\t\r\n,这段数值感觉是加密的,先试一下base64解密
https://base64.us/,第一个flag值到手,now_you_can_submit_flag2,这个flag出现在第3664个
我们继续搜索敏感特征,http contains “part”
就两条,那我们就仔细去看,发现Form item: “content” = “oh_you_got_the_part_3”,再看看有没有其它的,没有了,这个是出现在7315
因为我们的流量包是目录爆破的,当攻击者爆破成功,会返回200的响应码,我们去搜索200的响应码,http.response.code==200,一个个去看,我们翻到了一条流量数据,他有引起我们兴趣的字符,cat f111111114g.txt,这不就是存放flag的文件吗
继续往下面翻一番,上面这条的下面就有一串base64加密的字符串,我们把它拿去解码一下
50a026070cDRydDFfeTAwX3lvdV9jcmFja19teV93cHdlYg==\n,因为50a026070是蚁剑混淆返回包生成的,所以要去掉,实际上,我们是拿cDRydDFfeTAwX3lvdV9jcmFja19teV93cHdlYg==去解码
得到p4rt1_y00_you_crack_my_wpweb,这个是3199
三段flag按照出现的先后顺序拼一下,应该是ctfshow{p4rt1_y00_you_crack_my_wpweb_now_you_can_submit_flag2_oh_you_got_the_part_3}
3、总结
http.request.method==POST
http contains “upload”
base64密文特征:64个字符(A-Z,a-z,0-9,+,/)组成,末尾可能会有1或2个’=’ 最多有2个
