Flow analysis
misc/web 中的流量分析 writeup 。
LitCTF 2024¶
女装照流量 ¶
从流量上 看 TCP 占多,在统 计>协议分级 中可以看到 HTTP 的“信息”很多;筛选 http ,判断 是在 上 传很多文 件 => 文 件 > 导出对象 >HTTP> 全部保存 。接下来检查这些文件。
- jpg 文件确实是女装照,有兴趣自己看
说不定藏了信息呢 - ma.php 系类文 件,一一检 查;对于明显是 url 编码的内容,解码后发现都有类似于
$p=base64_decode(substr($_POST["da8af99c22690c"],2));的语句,意为将该键的值从第二位起(0 为首位,故不包含 第二个字符) 的字符串进行 base 解码;我们搜索该键, 就能 找到相应的值- 尝试到 ma(14).php 时,出现 密码
PaSsw0rd_LitCtF_L0vely_tanJi。 - 尝试到 ma(19).php 时 ,发现是二进 制文件,使用 file 检测(或者结合过程中的信息猜一猜也知道是 zip)更改扩展名,使用密码得到 flag。
- 尝试到 ma(14).php 时,出现 密码
- 剩下的文件有兴趣可以探索?
Flag
LitCTF{anTsw0rd_fl0w_is_eAsY_f0r_u}
EIS 2019¶
提交平台:NSSCTF
webshell¶
Flag
flag{AntSword_is_Powerful_3222222!!!!}
陇剑杯 2021 ¶
WebShell¶
题目: WebSh ell
问 1 ¶
使 用 wireshark 打开 ha ck.pcap,过滤含有 "password" 的文件,只有两个,直接 ctrl+f 找 "passwo rd",如图:
注意是 base64 解码:
Flag
NSSCTF{Admin123!@#}
问 2 ¶
同理,找 ".log" :
但是不知道绝对路径,但是看 a 的值,是在执行命令,往下看,得到:
Flag
NSSCTF{/var/www/html/data/Runtime/Logs/Home/21_08_07.log}
问 3 ¶
权限问题自然是先找 "whoami" ,发现有两 条,第一条响 应 404 失败,第二条 200 成功,检查 User/Group(用户权限
Flag
NSSCTF{www-data}
问 4 ¶
刚才我们也看到了,1.php 。
Flag
NSSCTF{1.php}
问 5 ¶
查看(echo 进入) 1.php 中的内容:
搜索 aaa,但是确实基础知识不足,我连什么是 代理工具客户端 都不知道,看了 writeup ,重点在于:frpc.ini,故:
Flag
NSS CTF{f rpc}
问 6 & 问 7 ¶
顺着 aaa 的搜索看下 来 ?简 而言之见 343 帧 1 的内容:
可以看到信息截断了 ,追踪把其复制下来,放 入 cyberchef 中:
Flag
NSSCTF{0HDFt16cLQJJTN276Gp}
-
为何当前不知 ↩