二、Bugku-----这么多数据包找找吧,先找到getshell的流------流量分析题------TCP

本文阅读 3 分钟
首页 代码,C/C#/C++ 正文

一、题目:

题目网盘链接:https://pan.baidu.com/s/1M5mi9nvkj7v-DA2w1qOt0g 提取码:vn78

二、解题步骤:

1.使用wireshark打开CTF.pcapngimg 2.打开后开始分析代码 ①首先看到,2到4和7到8为ARP广播请求包,8为ARP单播应答包 src.ip:192.168.116.161 dst.ip:192.168.116.162 //ARP的请求与获取shell应该无关 img ②接着看到,10到17包,为138和159之间的ICMP_ping包 由192.168.116.138发起,192.168.116.159应答 src.ip:192.168.116.138(攻击机器) dst.ip:192.168.116.159(靶机) 这一步应该为主机发现阶段,也就是通过主动信息收集验证192.168.116.159是否活着 img ③接着看,37到38包,为dhcp包之间的应答 由图可知192.168.116.254为dhcp服务器 推测,192.168.116.1为网关 img ④接着来,还有一样的ARP

⑤接着来,还有一样的DHCP

⑥接着是,从第108开始的192.168.116.138向192.168.116.159疯狂发送的SYN请求包,为了探测哪些端口打开的 //发SYN包,回RST+ACK--------------------------端口关闭 //发SYN包,回SYN+ACK,再发RST----------->端口打开 从第108个包,一直探测的端口关闭,直到第134、135、136形成了假的三次握手,说明139端口开启了。

img 可以跟踪tcp流查看一下:如下图所示,无内容。 img ⑦又有了一个3389端口的假的三次握手 img 可以跟踪tcp流查看一下:如下图所示,无内容。 img ⑧如下一直往下拉,还是有一样的结果,不妨放弃TCP包

⑨往后继续找,找到了SMB包 从第4018个包开始,是SMB,并且发现第4029有一个用户guest,推测跟获取shell有关,那么我们跟踪流查看一下,但是无果,继续吧。。。。 img ⑩之后又是TCP的 4444—1040 好多个,但是都没用

⑪最后再找到一个:35580对应的1234,建立三次握手后,一直连接着,可能是反弹Shell的链接 img 我们跟踪流,试一下: 如下图所示,发现一串base64加密的密文,我们解密一下,结果为:CCTF{do_you_like_sniffer} img

**三、flag:

CCTF{do_you_like_sniffer}**

四、总结:

第一步、题目是说获得了shell,说明攻击机器与靶机进行了三次握手,链接成功,可以只找TCP的完整三次握手 第二步、题目直说了获得shell,并没有说做了其它操作,所以可以推测这个包,只是抓了反弹Shell的包,那么我们可以直接下拉到最后,开始找TCP的三次握手

总之,若只是反弹shell,从后直接找TCP的完整成功的三次握手包,跟踪tcp流
                                                                                                    2019-10-13---402
本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/qq_45555226/article/details/102539514
-- 展开阅读全文 --
KillDefender 的 Beacon 对象文件 PoC 实现
« 上一篇 02-09
Web安全—逻辑越权漏洞(BAC)
下一篇 » 03-13

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复