官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
ICMP-Data
开启靶场下载附件后是一个.pcap的数据包
wireshark打开过滤ICMP数据包,观察数据包当中Data字段
点开第一个请求包,然后点击Data字段,可以看到如下图样式,其实根据单一的数据包很难感觉出来这是要干什么,既然提示是这里,不如看看有无规律,果然可以发现,接下来的6组数据包正好书字母ctfhub而后的第7个数据包是“{”,基本可以确定这是flag无疑了。
那么,查看最后一个数据包中的Data字段
事实的确如此
ctfhub{c87eb99796406ac0b}
ICMP-Length
length长度入手
这个是所有数据包当中的ASCII码,将其转为普通字符
99 116 102 104 117 98 123 97 99 98 54 53 57 102 48 50 51 125
flag如下
ctfhub{acb659f023}
MySQL流量
下载附件,是一个.pcap文件,用wireshark分析
首先过滤MYSQL的流量,其次直接查找ctfhub 的字段就可 ,然后精确定位到数据包的位置,可以看到文本中携带的flag数据
flag
ctfhub{mysql_is_S0_E4sy}
Redis流量
同样的pcap包,不过这次搜索ctfhub只有一半的flag
从66个数据包往后找啊,直到第70找到另一半,其实这样一排序,就很清楚的看出来了
flag
ctfhub{6051d6123de43dfad7609804925c0121}
MongoDB流量
直接搜索ctfhub字段或者利用在线编码工具将ctfhub编码为十六进制数值,即可得到flag,
ctfhub => 637466687562
第620个数据包当中
flag
ctfhub{5f284ecc279d2cbd1af258bb53c7a5f6}