一、题目:
题目网盘链接:https://pan.baidu.com/s/1M5mi9nvkj7v-DA2w1qOt0g 提取码:vn78
二、解题步骤:
1.使用wireshark打开CTF.pcapng
2.打开后开始分析代码 ①首先看到,2到4和7到8为ARP广播请求包,8为ARP单播应答包 src.ip:192.168.116.161 dst.ip:192.168.116.162 //ARP的请求与获取shell应该无关 
②接着看到,10到17包,为138和159之间的ICMP_ping包 由192.168.116.138发起,192.168.116.159应答 src.ip:192.168.116.138(攻击机器) dst.ip:192.168.116.159(靶机) 这一步应该为主机发现阶段,也就是通过主动信息收集验证192.168.116.159是否活着 
③接着看,37到38包,为dhcp包之间的应答 由图可知192.168.116.254为dhcp服务器 推测,192.168.116.1为网关 
④接着来,还有一样的ARP
⑤接着来,还有一样的DHCP
⑥接着是,从第108开始的192.168.116.138向192.168.116.159疯狂发送的SYN请求包,为了探测哪些端口打开的 //发SYN包,回RST+ACK--------------------------端口关闭 //发SYN包,回SYN+ACK,再发RST----------->端口打开 从第108个包,一直探测的端口关闭,直到第134、135、136形成了假的三次握手,说明139端口开启了。
可以跟踪tcp流查看一下:如下图所示,无内容。 
⑦又有了一个3389端口的假的三次握手 
可以跟踪tcp流查看一下:如下图所示,无内容。 
⑧如下一直往下拉,还是有一样的结果,不妨放弃TCP包
⑨往后继续找,找到了SMB包 从第4018个包开始,是SMB,并且发现第4029有一个用户guest,推测跟获取shell有关,那么我们跟踪流查看一下,但是无果,继续吧。。。。 
⑩之后又是TCP的 4444—1040 好多个,但是都没用
⑪最后再找到一个:35580对应的1234,建立三次握手后,一直连接着,可能是反弹Shell的链接 
我们跟踪流,试一下: 如下图所示,发现一串base64加密的密文,我们解密一下,结果为:CCTF{do_you_like_sniffer} 
**三、flag:
CCTF{do_you_like_sniffer}**
四、总结:
第一步、题目是说获得了shell,说明攻击机器与靶机进行了三次握手,链接成功,可以只找TCP的完整三次握手 第二步、题目直说了获得shell,并没有说做了其它操作,所以可以推测这个包,只是抓了反弹Shell的包,那么我们可以直接下拉到最后,开始找TCP的三次握手
总之,若只是反弹shell,从后直接找TCP的完整成功的三次握手包,跟踪tcp流
2019-10-13---402