标签：FLAG 中职 赛项 职业院校 命令 attack 黑客 第二条 数据包

任务一:攻击日志分析

• 从靶机服务器的FTP上下载attack.pcapng数据包文件，通过分析数据包attack.pcapng，找出黑客的IP地址，并将黑客的IP地址作为FLAG（形式：[IP地址]）提交；（1分）

• 继续查看数据包文件attack.pacapng，分析出黑客扫描得到的靶机开放的端口，将靶机开放的端口作为FLAG（形式：[端口名1,端口名2,端口名3…,端口名n]）从低到高提交；（1分）

• 继续查看数据包文件attack.pacapng，分析出黑客成功入侵后获得的操作系统的版本号，将操作系统的版本号作为FLAG（形式：[操作系统版本号]）提交；（1分）

• 继续查看数据包文件attack.pacapng，分析出黑客成功入侵后执行的第一条命令，并将执行的第一条命令作为FLAG（形式：[第一条命令]）提交；（1分）

• 继续查看数据包文件attack.pacapng，分析出黑客成功入侵后执行的第二条命令，并将执行的第二条命令作为FLAG（形式：[第二条命令]）提交；（2分） 

• 继续查看数据包文件attack.pacapng，分析出黑客成功入侵后执行的第二条命令的返回结果，并将执行的第二条命令返回结果作为FLAG（形式：[第二条命令返回结果]）提交；（2分）

• 继续查看数据包文件attack.pacapng，分析出黑客成功入侵后执行的第三条命令的返回结果，并将执行的第三条命令返回结果作为FLAG（形式：[第三条命令返回结果]）提交。（2分）

解析：

第一题找黑客IP，协议http默认就是第一个数据包的第一个IP

 Flag：192.168.10.106

第二题找端口，根据tcp的连接原理，当黑客是使用半开是扫描

我们使用过滤规则

ip.src == 192.168.10.106 and tcp.flags.reset == 1

Flag：21.22.23.80.139.445.3306.8080

第三题：找入侵后过获得的操作系统的版本号

在筛选所有常规服务后，发现只有ftp是黑客成功入侵的服务

我们去过滤FTP

 看到SHHw：  9Aa

我们想到就应该是vsftpd2.3.4，可以最追踪流看一下

 在追踪流之后我们发现在输入账号密码之后就没有了数据交流

所以我们要想到tcp.port == 6200

随便找一个包，然后我们追踪流随便一个包，我们看到操作系统的版本号

Flag：Linux localhost.localdomain 2.6.32-504.e16.i686

第四题：看入侵后执行的第一个命令

 第五题：找入侵后的第二条命令

 Flag：uname -a

第六题：第二条命令返回的结果

Flag：Linux localhost.localdomain 2.6.32-504.e16.i686 #1 Web Oct 15 03:02:07 UTC 2014 i686

i686 i386 GNU/Linux

第七题：看第三条命令返回的内容

 Flag:/

如果需要环境可以联系本人QQ：1721676697

每日一更，或者每日两更，也可能不更

随心~

标签：FLAG,中职,赛项,职业院校,命令,attack,黑客,第二条,数据包
来源： https://blog.csdn.net/FogIslandBay/article/details/120388505

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。