Bugku-CTF分析篇-这么多数据包(这么多数据包找找吧，先找到getshell的流)

这么多数据包

这么多数据包找找吧，先找到getshell的流

 

 

本题要点：包过滤、base64解密、常见端口

 

先用协议过滤一下~

 

用常用的http来过滤，发现没有这一类数据包~

 

 

用tcp协议过滤，发现有好多好多包呀~

 

 

我们从上至下扫一眼，发现常见的443端口，且这个数据包的前后都类似于端口探测扫描的行为。

 

注：

 源ip192. 一直向 目标ip192. 发送syn握手包，想要建立连接，其实就是端口扫描。

大概的原理就是，若想和某个端口建立连接，然后看这个端口的回复包的内容来判断是否开放了此端口。

我们现在就可以知道  .138是客户端，.159是服务器端 了。

 

 

接着我们可以看到，探测端口554下面两条红色标识的数据包~

红色的包是服务器向客户端回复的信息，代表此端口没有开放。

 

 

那么我们现在可以通过端口来进行判断服务器和客户端进行了什么操作~

由于数据包真的太多了，一条条往下翻真的看的人眼睛都花了QwQ

所以，我们可以直接通过字符串搜索，用常用的或者高危的端口来快速判断~

 

这里补充一下常见的高危端口（包含但不仅限于这些端口）：

 

 

 

 3389和23端口 ：

 

       3389端口是Windows 2000(2003) Server远程桌面的服务端口。

        （1）通过这个端口，用"远程桌面"等连接工具来连接到远程的服务器。

        （2）如果连接上了3389端口，输入系统管理员的用户名和密码后，将变得可以像操作本机一样操作远程的电脑。

        （3）当你的计算机修改完端口号后要想继续使用远程桌面，并且计算机有启用防火墙，则必须在防火墙例外中添加所修改的端口号。否则用3389与修改后的端口号都将连不上远程桌面。

 

      23端口是telnet的端口。

        （1）Telnet协议是TCP/IP协议族中的一员，是Internet远程登录服务的标准协议和主要方式。

        （2）它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序，用它连接到服务器。

        （3）利用Telnet服务，黑客可以搜索远程登录Unix的服务，扫描操作系统的类型。而且在Windows 2000中Telnet服务存在多个严重的漏洞，比如提升权限、拒绝服务等，可以让远程服务器崩溃。

 

-----补充完-----

 

我们可以根据上表的端口来进行搜索，看看是否有大量通信的数据包。

 

 

 

这里以搜索  为例：

 

我们发现有很多服务器和客户端相互通信有关3389的数据包~

 

 

选中一个包，追踪TCP流，看看里面有没有什么内容~

 

大多都是这样的内容......好像没什么可用的价值~

 

ps：包是真的多......

 

 

 

 

往下一直翻翻翻...看到了 SMB协议 ...

任意选一个，追踪tcp流~

 

SMB 协议：

        （1）客户端应用程序可以在各种网络环境下读、写服务器上的文件，以及对服务器程序提出服务请求。

        （2）此外通过 SMB 协议，应用程序可以访问远程服务器端的文件、以及打印机、邮件槽（mailslot）、命名管道（named pipe）等资源。

 

 

 

但是也没发现什么有价值的东西~哭

 

 

 

 

看到这，我们发现 43949与445 以及 1040与4444 ，分别产生了三次握手~

 

 

 

分别追踪一下TCP流，内容挺多的，搜索一下flag或者key这种比赛中答案提交的标志字符串~

发现又是啥也没有QwQ...

 

 

 

 

下面又陆陆续续发现了很多 1040与4444 的数据包，但是我们就可以不用管了，因为刚刚已经搜索过了，没什么信息~

 

 

 

于是，继续翻....翻了很久...

 

发现了 1234与35880 建立了三次握手，追踪TCP流~

 

 

 

瞧，我们发现了什么~

 

终于看到可能有点用的东西了~拿去base64解密吧！

 

base64加解密链接：http://tool.chinaz.com/Tools/Base64.aspx

 

 

 

终于找到答案了QwQ，此刻笔者内心：i dont like，哭，太费眼睛了！！！

 

提交 CCTF{do_you_like_sniffer} 

 

 

完成~

 

 

 

 

 

参考资料：

 

https://baike.so.com/doc/62776-66193.html

https://baike.so.com/doc/6953030-7175434.html

https://www.cnblogs.com/zaqzzz/p/9462757.html