一道有意思的流量分析题目

大胆走出去,是一种挑战,也是一种成长

背景

前几天在bugku上看到了这样一道题目

timu

打开pcap包,发现真的是这么多数据包

数据包

分析

然后根据提示是先找到getshell的流,那么,我们想一想,你getshell之后,会干啥呢?或者说会执行啥命令呢?其实按照个人理解无非就是以下几个:

windows下:

1
2
3
4
5
systeminfo
whoami
netstat -ano
dir
...

linux下:

1
2
3
4
5
6
whoami
netstat -anlp
ls
ps -aux
cat /etc/crontab
...

仔细查看下流量包,发现是windows主机

主机

然后按照windows的命令查找一下

执行systeminfo命令

命令

执行whoami命令

命令

执行dir命令

命令

查看内容

发现在查找dir的时候有流量,应该是执行过dir命令,然后跟踪tcp流

内容

解码得出flag

可以看出来整个流量包内容,此处发现执行过type打印出s4cr4t.txt的内容,编码一下

解码

得出flag