type
Post
status
Published
date
slug
summary
tags
CTF
推荐
category
CTF-WP
category (1)
icon
password
comment

3-溯源

题目提示是冰蝎流量
image-20231031183803734
image-20231031183803734
在tcp的3579流找到了写入的木马,不过用base64加了密,所以去解密
image-20231031183844708
image-20231031183844708
得到shell脚本
得到了aes的密钥e45e329feb5d925b,那就去解密相关流量
image-20231031184207513
image-20231031184207513
在5722流找到了相关的回复数据,先用得到的密钥去aes解密
解密网站:http://tools.bugscaner.com/cryptoaes/
image-20231031184258405
image-20231031184258405
得到msg,再用base64去解密
image-20231031184339217
image-20231031184339217
得到了www-data,这是我们要找的服务器用户名,还要找ip
ip找了半个小时,然后借鉴了wp的方法
在wireshark过滤器中输入
表示寻找http回应中含有1.php的响应包,其中可以找到密文
image-20231031191720227
image-20231031191720227
这时候我就奇怪了,因为我之前记得之前是追踪过所有含有1.php的tcp流,这次我又追踪了第69932这条的tcp流
image-20231031191838091
image-20231031191838091
image-20231031191906244
image-20231031191906244
惊讶的发现响应包里呈现的尽然不是密文,我就想是不是要追踪http流,又试了一下追踪http流
image-20231031192045571
image-20231031192045571
这回对了,看来tcp和http以后都要追踪一遍
最后解密
image-20231031192306239
image-20231031192306239
flag{www-data_172.17.0.2}
相关文章
js原型链污染
Lazy loaded image
GeekChallenge2025-web
Lazy loaded image
2025浙江省CTF决赛
Lazy loaded image
无参数命令执行学习
Lazy loaded image
腾龙杯2024
Lazy loaded image
命令执行绕过之Linux通配符
Lazy loaded image
NewStarCTF-Week4-WebNew-Star-CTF-2023-week2-web
Loading...
公告
🎉qetx新博客已经上线🎉
-- 感谢您的支持 ---
这里会有什么?
ctf知识
RL学习笔记
有趣的生活日常
 
目录
0%