赛题名称:MISC03
解题步骤(WriteUp)
第一步:查看题目提示,初步判断是MISC专项的流量分析题
第二步:下载附件解压得到c.pcap文件,打开利用wireshark查看遭受攻击时段的流量包
第三步:初步浏览整个数据包,发现IP39.144.218.183执行了对网站目录扫描的行为,但是将IP39.144.218.183作为flag提交提示错误
第4步:继续进行数据包浏览,发现了还有另外一个IP地址39.144.219.183,但是目录扫描的思路是错误的,以这个ip提交flag也是错误的,排除掉
第5步:考虑到目录扫描是GET方式,设置过滤器http.request.method != GET排除掉GET请求,随即发现曾有三个IP尝试执行upload文件上传操作,并且其中IP为39.168.5.60的主机还发送了POST请求执行上传保存路径的hacker.php文件。打开39.168.5.60主机执行hacker.php文件的流量包,将File Data值复制到AI,AI解答这个PHP脚本尝试执行了遍历目录操作。这是典型的文件上传webshell木马操作,将IP39.168.5.60作为flag提交答案正确。