BUUCTF: https://buuoj.cn/challenges

相关阅读 CTF Wiki BUUCTF | 大流量分析 （一）（二）（三）

题目描述：

某黑客对A公司发动了攻击，以下是一段时间内我们获取到的流量包，那黑客预留的后门的文件名是什么？（答案加上flag{}）附件链接: https://pan.baidu.com/s/1EgLI37y6m9btzwIWZYDL9g 提取码: 9jva 注意：得到的 flag 请包上 flag{} 提交

密文：

下载附件，有很多pcap流量包。

解题思路：

1、寻找黑客留下的后门文件，对于php站点，通常成功上传木马后，会测试 phpinfo() 返回。

所以，在流量包中搜索 phpinfo() ，过滤语句如下：

1

tcp contains "phpinfo()"

最终，在该流量包 数据采集D_eth0_NS_20160809_172831.pcap 发现 phpinfo() 。

执行 phpinfo() 的文件是admin.bak.php，黑客预留的后门的文件名是 admin.bak.php 。

1

GET /admin.bak.php?a=assert&b=phpinfo() HTTP/1.1\r\n

flag：

1

flag{admin.bak.php}

BUUCTF: https://buuoj.cn/challenges

相关阅读 CTF Wiki BUUCTF：大流量分析（二）

题目描述：

黑客对A公司发动了攻击，以下是一段时间内获取到的流量包，那黑客使用了哪个邮箱给员工发送了钓鱼邮件?（答案加上flag{}）附件链接: https://pan.baidu.com/s/1EgLI37y6m9btzwIWZYDL9g 提取码: 9jva 注意：得到的 flag 请包上 flag{} 提交

密文：

下载附件，有很多pcap流量包。

解题思路：

1、看第一个流量包，钓鱼邮件一般出现在攻击前期，寻找SMTP流量。

邮件协议：POP、SMTP、IMAP

追踪TCP流，发现几个邮箱。（拥有同样后缀@t3sec.cc的邮箱，应该是公司员工的邮箱）

往下查看流量，发现一段Base64编码的数据。

解码后，发现疑似钓鱼邮件，确认黑客使用的邮箱是： xsser@live.cn 。

1
2
3
4

tPO80rrDoaMNCiAgICAgvPjT2rmry77N+MLnvNy5ubjEtq+jrLK/t9bTptPD0OjSqsn9vLajrL7J
sOaxvm1haWyhom9hoaJjcm21yM+1zbPW8LK9vavM5ru7o6zH67TzvNK1x8K8aHR0cDovLzExOC4x
OTQuMTk2LjIzMjo4MDg0L2dldC5waHAgzO7QtNfUvLq1xNXKusXS1LHjxeS6z8+1zbPJ/by2oaMN
CiAgICDQu9C7tPO80qOhDQoNCg==

1
2
3

大家好。
     鉴于公司网络架构改动，部分应用需要升级，旧版本mail、oa、crm等系统逐步将替换，请大家登录http://118.194.196.232:8084/get.php 填写自己的帐号以便配合系统升级。
    谢谢大家！

flag：

1

flag{xsser@live.cn}

BUUCTF: https://buuoj.cn/challenges

相关阅读 CTF Wiki BUUCTF:大流量分析（一）

题目描述：

某黑客对A公司发动了攻击，以下是一段时间内我们获取到的流量包，那黑客的攻击ip是多少？（答案加上flag{}）附件链接: https://pan.baidu.com/s/1EgLI37y6m9btzwIWZYDL9g 提取码: 9jva 注意：得到的 flag 请包上 flag{} 提交

密文：

下载附件，有很多pcap流量包

解题思路：

1、随便打开一个，一般黑客的攻击流量会很多，需要使用Wireshark统计功能。

先统计IP，统计 → IPv4 Statistics → All Addresses

将IP出现数量Count进行排序，发现除了 183.129.152.140 ，其它全部是内网IP。

常见内网IP段： 10.0.0.0 – 10.255.255.255 172.16.0.0 – 172.31.255.255 192.168.0.0 – 192.168.255.255

2、统计会话和端点，发现 183.129.152.140 的分组数，是除内网IP最多的。

会话

端点

最后，确认黑客的攻击ip是 183.129.152.140 。

flag：

1

flag{183.129.152.140}