DNS 流量分析 https://www.nssctf.cn/problem/941 用鲨鱼打开pcapng流量包可以看到很多DNS包,使用过滤器过滤掉多于的包 基本都是dnslog的流量,值得注意的是ZmxhZ3tlNj.i6ov08.dnslog.cn这样的流量,其三级域名一眼怀疑base64 确定,从上往下提取dns的三级域名 ZTgxMzE4Yn0K.i6ov08.dnslog.cn AwMWVlOGJi.i6ov08.dnslog.cn YTM3NmUxYz.i6ov08.dnslog.cn YyYWMxNTRj.i6ov08.dnslog.cn.localdomain ZmxhZ3tlNj.i6ov08.dnslog.cn ZmxhZ3.i6ov08.dnslog.cn ZmxhZ3tlNj.i6ov08.dnslog.cn Z.i6ov08.dnslog.cn ZmxhZ3tlNj YyYWMxNTRj YTM3NmUxYz AwMWVlOGJi ZTgxMzE4Yn0K 通过dns解码 题解
蚁剑流量分析[玄机靶场] 这题考察的要不就是对蚂蚁流量特征的,要不就是php的阅读能力,难度不大 第一题 连接密码 打开文件,过滤http流量,随便打开一个 密码为1 flag{1} 第二题 黑客执行的第一个命令是什么 蚂蚁的流量逻辑是信息经过base64编码后在前面加两位,在payload中会使用substr函数截掉,所以做解码也需要删掉前两个 详细可见这篇文章 蚁剑流量分析 看前第24号包 重点关注末尾的传参内容及AkY2QgIi92YXIvd3d3L2h0bWwiO2lkO2VjaG8gZTEyNGJjO3B3ZDtlY2hvIDQzNTIz删除前两位base64解码cd "/var/www/html";id;echo e124bc;pwd;echo 43523很明显,第一个命令执行为id flag{id} 第三题 黑客读取了哪个文件的内容,提交文件绝对路径 一眼顶真 鉴定为/etc/passwd flag{/etc/passwd} 第四五题 文件上传包,蚂蚁的文件上传传参是文件文件hex+文件路径,文件路径传参逻辑与其他一样base64删掉前两个字符hex没有编码 那么路径就是L3Zhci93d3cvaHRtbC9mbGFnLnR4dA== » /var/www/html/flag.txt 内容 666C61677B77726974655F666C61677D0A » flag{write_flag} 第六题 黑客下载了哪个文件,提交文件绝对路径 flag{/var/www/html/config.php}