网站开发公司 上海,抖音怎么运营和引流,邢台做网站备案,wordpress 分享文章标题#x1f36c; 博主介绍#x1f468;#x1f393; 博主介绍#xff1a;大家好#xff0c;我是 hacker-routing #xff0c;很高兴认识大家~
✨主攻领域#xff1a;【渗透领域】【应急响应】 【Java、PHP】 【VulnHub靶场复现】【面试分析】
#x1f389;点赞➕评论➕收… 博主介绍 博主介绍大家好我是 hacker-routing 很高兴认识大家~
✨主攻领域【渗透领域】【应急响应】 【Java、PHP】 【VulnHub靶场复现】【面试分析】
点赞➕评论➕收藏 养成习惯一键三连
欢迎关注一起学习一起讨论⭐️一起进步文末有彩蛋
作者水平有限欢迎各位大佬指点相互学习进步 目录 1、前言
2、flag1
3、flag2
4、flag3 1、前言 解压缩流量包的密码
A_H_H3re_15_Ur_PaSSuu0rd_S4y_tk5_f0r_Taoshen!!!利用wearshark打开 2、flag1
经题目介绍说这个流量包是记录作者网站被偷了并且还拿到了作者平台的信息那么很有可能hack利用了某些比如蚁剑之类的工具连接上传了某些PHP木马文件子类的这个我们需要首先考虑。
利用检索语句挨个看php后缀的包发现一个upload文件上传的包我们追踪流细看下但是没有什么发现但是验证了我们开始说的hack应该就是上传了某php木马
tcp contains php我们验证下有没有什么POST之类的包使用过滤语句筛选下发现存在很多的POST包
http.request.methodPOST这个流量特征之前见过是蚁剑的流量特征蚁剑命令执行的流量是通过base64混淆的往后翻翻感觉还没完大家再在http包里面检索“50a026070”这个是蚁剑的特征发现一串base64编码的字符串
50a02607050a026070cDRydDFfeTAwX3lvdV9jcmFja19teV93cHdlYg\n 50a026070这九位也是蚁剑混淆返回包生成的base解密时候要去除 拿到flag1p4rt1_y00_you_crack_my_wpweb 3、flag2
我这里发现登录包存在很多404像是存在爆破
tcp contains php一直检索然后挨个看包突然看到了flag下面有一串像是base64编码的字符串 成功拿到了flag2now_you_can_submit_flag2 4、flag3
在http流量包里面看到了这个账号和密码其实我看一些WP里面这里是可以找到这个登录的url的然后输入账号密码就可以在作者的博客里面找到flag3了 但是我这里访问不了就一个一个流量包看看的我头都晕了
但是最终还是找到了flagoh_you_got_the_part_3 最终答案为ctfshow{p4rt1_y00_you_crack_my_wpweb_now_you_can_submit_flag2_oh_you_got_the_part_3}
