被嗅探的流量
問題:黑客的攻擊ip是多少?
在流量包里搜索字符串 flag{ ,在一條圖片上傳記錄里找到 flag 明文
大流量分析(一)
附件是不同時段的流量包,打開后發現 Soure IP 以 B 類地址的私有段(內網)為主,考慮流量包是黑客的攻擊流量
於是關注 Destination IP ,其中出現次數最多的就是 183.129.152.140(外網),即為黑客攻擊的 IP
flag{183.129.152.140}
大流量分析(二)
問題:黑客使用了哪個郵箱給員工發送了釣魚郵件?
在第一個流量包里過濾出 smtp 協議的記錄,在 xsser@live.cn 后看到了 Sender ok
flag{xsser@live.cn}
大流量分析(三)
問題:黑客預留的后門的文件名是什么?
后門是可運行的腳本 .php ,慢慢找找出 admin.bak.php
flag{admin.bak.php}
荷蘭寬帶數據泄露
附件是 .bin 格式的文件,由於題目說了是寬帶數據,推測這是路由器備份的文件
需要用 RouterPassView 解析,然后顯示出 xml 格式的文件,flag 是用戶名字段
flag{053700357621}
數據包中的線索
題目:公安機關近期截獲到某網絡犯罪團伙在線交流的數據包,但無法分析出具體的交流內容,聰明的你能幫公安機關找到線索嗎?
流量不大,隨意追蹤一下 TCP 或者 HTTP 流,大概率會落在一段 GET 請求里,附加了一段經 Base64 加密的字符串
由於長度比較長,考慮是圖片加密,在瀏覽器 url 中輸入 data:image/png;base64,<base64>,查看到圖片
flag{209acebf6324a09671abc31c869de72c}