BugKu 雜項-這麽多數據包
前邊的都是些無關緊要,只要有點網絡的基礎我想應該都能懂,往下看,一直到NO104,這是在幹什麽?
源ip138一直向目標ip159發送syn握手包,想要建立連接,其實就是端口掃描,原理就是,想和你某個端口建立連接,然後看這個端口的回復的類型來看下是否開放了此端口。我們現在就可以知道138是客戶端,159是服務器端了。紅色的包是服務器向客戶端回復的信息,代表此端口沒有開放。
再往下看,服務器的3389端口號一直和客戶端在聯系,說明3389端口是開放著的。
跟蹤了幾個不同的端口對應著的tcp流,沒有發現什麽,全都是...+&......Cookie: mstshash=administrator
為什麽要掃這麽多端口。。。可能是為了混淆吧。。。
再看,發現了smb協議,百度一下
通過 SMB 協議,客戶端應用程序可以在各種網絡環境下讀、寫服務器上的文件,以及對服務器程序提出服務請求。此外通過 SMB 協議,應用程序可以訪問遠程服務器端的文件、以及打印機、郵件槽(mailslot)、命名管道(named pipe)等資源。
不知道幹啥的,可能是寫馬了,追蹤一下tcp流,也沒有發現什麽。
繼續往下看。
1040和4444建立了tcp三次握手連接,追蹤一下tcp流。
內容倒是挺多的,搜索一下flag{} key{},無果。繼續往下看吧。凡是1040和4444這兩個通信的,一律不管了。
一直到NO5542,1234和35880建立了三次握手,追蹤。
很容易看到一串base64編碼的字符串,解碼一下 Q0NURntkb195b3VfbGlrZV9zbmlmZmVyfQ==
: CCTF{do_you_like_sniffer}
這道題目思路:先看題目給出的提示,getshell,說明最後肯定是拿到shell了,那就從最後邊開始找,最後邊一開始是1040和4444建立的tcp連接,追蹤tcp流,沒有發現什麽。
然後,1040和4444的tcp流就不要管了,網上繼續找。又發現了1234和35800建立連接的,追蹤tcp就好了。
BugKu 雜項-這麽多數據包