题目地址
https://game.fengtaisec.com/#/startQuestions/8
题目分析
有黑客入侵工控设备后在内网发起了大量扫描,而且扫描次数不止一次。请分析日志,指出对方第4次发起扫描时的数据包的编号,flag形式为 flag{}。
关键字: 第四次扫描的数据包的编号 、分析扫描日志
解题思路
下载下题目,解压打开后缀是.log,使用记事本打开乱码。题目里是分析扫描日志,将后缀改为.pcap的文件打开
1、查找第四次扫描发起时候的编号
查找第四次扫描发起时候的编号
查看数据包 ,发现有很多TCP的扫描包,都是对192.168.0.99进行扫描
TCP连接三次握手示意图
-
SYN:简写为
S,同步标志位,用于建立会话连接,同步序列号; -
ACK:简写为
.,确认标志位,对已接收的数据包进行确认; -
FIN:简写为
F,完成标志位,表示我已经没有数据要发送了,即将关闭连接
第一次握手:客户端将TCP报文标志位SYN置为1,随机产生一个序号值seq=J,保存在TCP首部的序列号(Sequence Number)字段里,指明客户端打算连接的服务器的端口,并将该数据包发送给服务器端,发送完毕后,客户端进入SYN_SENT状态,等待服务器端确认。
第二次握手:服务器端收到数据包后由标志位SYN=1知道客户端请求建立连接,服务器端将TCP报文标志位SYN和ACK都置为1,ack=J+1,随机产生一个序号值seq=K,并将该数据包发送给客户端以确认连接请求,服务器端进入SYN_RCVD状态。
第三次握手:客户端收到确认后,检查ack是否为J+1,ACK是否为1,如果正确则将标志位ACK置为1,ack=K+1,并将该数据包发送给服务器端,服务器端检查ack是否为K+1,ACK是否为1,如果正确则连接建立成功,客户端和服务器端进入ESTABLISHED状态,完成三次握手,随后客户端与服务器端之间可以开始传输数据了。
数据包里
将时间显示格式调整为日期和时间类型
发送一个syn包,seq=0 的包给服务端,服务端返回一个ACK包,seq=1的包给客户端 , 完成一次syn扫描 , 发现是从编号5开始的进行syn扫描进行了一次连接
第四次扫描时的编号是11进行提交,提交发现并不是flag
2、查找第四个IP进行扫描时的第一次扫描
通过数据包发现进行扫描时候要进行ping扫描测试连通性,再进行扫描
进对cmp协议进行筛选,根据发送数据包的时间的先后,发现 第四次icmp扫描时的编号是155989
最终得到flag{155989}
原文始发于微信公众号(Th0r安全):工控CTF_纵横网络靶场_工控安全取证
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论