流量分析

• 分析数据包hack.pcap,黑客登录系统使用的密码是________。
• 分析数据包hack.pacap,黑客修改了一个文件日志，文件的绝对路径为________。
• 分析数据包hack.pcap，黑客获取webshell之后，权限是_________？
• 分析数据包hack.pcap，黑客写入的webshell文件名是_________。(请提交带有文件后缀的文件名，例如x.txt)
• 分析数据包hack.pcap，黑客上传的代理工具客户端名字是__________。（如有字母请全部使用小写）
• 分析数据包hack.pcap，黑客代理工具的回连服务端IP是___________。
• 分析数据包hack.pcap，黑客的socks5的连接账号、密码是___________。（中间使用#号隔开，例如admin#passwd）

数据包：

百度网盘：https://pan.baidu.com/s/1D9rpfxtSW31wH_Ny_8uUwA

提取码：r0ud

第一题：直接ctrl + f

搜索内容 password

 Flag:Admin123!@#

第二题：题目中写道修改了一个日志文件，所以后缀为log，我们去搜索.log,一般是文件后缀的话，后缀前面都有一个点

 找到日志文件，但是不是绝对路径，我们继续找 ，追踪http流看里面的信息

我们找到这个地方，发现在执行命令，我们发现路径/var/www/html，将/var/www/html跟data/Runtime/Logs/Home/21_08_07.log放在一起，就是第二题答案 

Flag：/var/www/html/data/Runtime/Logs/Home/21_08_07.log

• 第三题，找权限，直接搜索whoami

  

 我们追踪http流

我们看到default权限后面，www-data

Flag：www-data

• 第四题

 找写入webshell的文件名

这个题我们抓第二题的包就已经知道了

 输入webshell输出到1.php里面

Flag：1.php

• 第五题找代理工具客户端的名字

在上面我们可以得知aaa是连接密码，我们可以追踪aaa，然后找到跟这个包一起的数据包，追踪http流

在这个地方我们可以很清楚的看到在有个特殊defrpc

Flag：frpc

• 第六题找代理工具回连IP

我们找到这个包，然后追踪HTTP流

 

 这个地方因为他是上传了一个文件，然后往后看，用shell上传，上传的时候抓的宝文件内容是16进制的，我们去十六进制转字符串，在没网的环境里呢，可以用Burpsuite这个神神器去转换十六进制，将图中所选的内容复制，放在Burp里面的Decoder里面，然后修改类型，修改为ASCll hex

这里可以清楚的看到回连服务器的IP

Flag：192.168.239.123

• 第七题找socks5的连接密码和账号

我们可以清楚的看到socks5的连接密码和账号

Flag：0HDFt16cLQJ#JTN276Gp