這么多數據包
這么多數據包找找吧,先找到getshell的流
本題要點:包過濾、base64解密、常見端口
先用協議過濾一下~
用常用的http來過濾,發現沒有這一類數據包~
用tcp協議過濾,發現有好多好多包呀~
我們從上至下掃一眼,發現常見的443端口,且這個數據包的前后都類似於端口探測掃描的行為。
注:
源ip192.168.116.138 一直向
目標ip192.168.116.159 發送syn握手包,想要建立連接,其實就是端口掃描。
大概的原理就是,若想和某個端口建立連接,然后看這個端口的回復包的內容來判斷是否開放了此端口。
我們現在就可以知道
192.168.116.138是客戶端,192.168.116.159是服務器端 了。
接着我們可以看到,探測端口554下面兩條紅色標識的數據包~
紅色的包是服務器向客戶端回復的信息,代表此端口沒有開放。
那么我們現在可以通過端口來進行判斷服務器和客戶端進行了什么操作~
由於數據包真的太多了,一條條往下翻真的看的人眼睛都花了QwQ
所以,我們可以直接通過字符串搜索,用常用的或者高危的端口來快速判斷~
這里補充一下常見的高危端口(包含但不僅限於這些端口):
3389和23端口 :
3389端口是Windows 2000(2003) Server遠程桌面的服務端口。
(1)通過這個端口,用"遠程桌面"等連接工具來連接到遠程的服務器。
(2)如果連接上了3389端口,輸入系統管理員的用戶名和密碼后,將變得可以像操作本機一樣操作遠程的電腦。
(3)當你的計算機修改完端口號后要想繼續使用遠程桌面,並且計算機有啟用防火牆,則必須在防火牆例外中添加所修改的端口號。否則用3389與修改后的端口號都將連不上遠程桌面。
23端口是telnet的端口。
(1)Telnet協議是TCP/IP協議族中的一員,是Internet遠程登錄服務的標准協議和主要方式。
(2)它為用戶提供了在本地計算機上完成遠程主機工作的能力。在終端使用者的電腦上使用telnet程序,用它連接到服務器。
(3)利用Telnet服務,黑客可以搜索遠程登錄Unix的服務,掃描操作系統的類型。而且在Windows 2000中Telnet服務存在多個嚴重的漏洞,比如提升權限、拒絕服務等,可以讓遠程服務器崩潰。
-----補充完-----
我們可以根據上表的端口來進行搜索,看看是否有大量通信的數據包。
這里以搜索
3389 為例:
我們發現有很多服務器和客戶端相互通信有關3389的數據包~
選中一個包,追蹤TCP流,看看里面有沒有什么內容~
大多都是這樣的內容......好像沒什么可用的價值~
ps:包是真的多......
往下一直翻翻翻...看到了
SMB協議 ...
任意選一個,追蹤tcp流~
SMB 協議:
(1)客戶端應用程序可以在各種網絡環境下讀、寫服務器上的文件,以及對服務器程序提出服務請求。
(2)此外通過 SMB 協議,應用程序可以訪問遠程服務器端的文件、以及打印機、郵件槽(mailslot)、命名管道(named pipe)等資源。
但是也沒發現什么有價值的東西~哭
看到這,我們發現
43949與445 以及
1040與4444 ,分別產生了三次握手~
分別追蹤一下TCP流,內容挺多的,搜索一下flag或者key這種比賽中答案提交的標志字符串~
發現又是啥也沒有QwQ...
下面又陸陸續續發現了很多
1040與4444 的數據包,但是我們就可以不用管了,因為剛剛已經搜索過了,沒什么信息~
於是,繼續翻....翻了很久...
發現了
1234與35880 建立了三次握手,追蹤TCP流~
瞧,我們發現了什么~
終於看到可能有點用的東西了~拿去base64解密吧!
base64加解密鏈接:http://tool.chinaz.com/Tools/Base64.aspx
終於找到答案了QwQ,此刻筆者內心:i dont like,哭,太費眼睛了!!!
提交
CCTF{do_you_like_sniffer}
完成~
參考資料:
https://baike.so.com/doc/62776-66193.html
https://baike.so.com/doc/6953030-7175434.html
https://www.cnblogs.com/zaqzzz/p/9462757.html