做流量取证的时候第一次接触了一点web知识,所以这里我会直接贴出涉及到知识点我所搜到文章,一起学习一起进步
DIDCTF:DIDCTF
题目1:分析检材1,黑客的IP地址是
检材1拖进wireshark里,然后过滤http
然后从下往上翻或者设置排序,然后去post请求
这里关于这些post和其他的http的请求方式不懂,可以去看这篇文章详解HTTP四种请求:POST、GET、DELETE、PUT
我这里简单介绍一下Post请求
POST请求
post请求用于向指定资源提交数据,通常会导致服务器的状态发生变化。例如,在web表单中填写用户信息并提交时,就是使用POST请求方式将表单数据提交到服务器存储
使用post请求方式提交的数据会包含在请求体中,而不像get请求方式那样包含在URL中。因此,post请求可以提交比get更大的数据量,并且相对更安全
例子
点击查看代码
POST /api/user HTTP/1.1
Host: example.com
Content-Type: application/json
Content-Length: 123
{
"name": "John Doe",
"email": "johndoe@example.com",
"age": 30
}
所以我们这里直接去看post包
可以看到在post包的倒数四行,黑客发送了一个一句话木马
所以直接复制ip就行
source列为源地址,Destination为目的地址
flag:192.168.94.59
题目2:黑客登录web后台使用的账号是
继续往下翻找源地址为192.168.94.59的post包
通过这四个连续的post包可以看到黑客在一直爆破用户名为admin的密码
flag:admin
题目3:黑客登录web后台使用的密码是
这里直接找黑客最后一次爆破的包就行
flag:admin!@#pass123
题目4:网站账号“人事”所对应的登录密码是
就在黑客获得密码的上面,也可以观查到源地址和黑客发起攻击的地址不一样
flag:hr134679
题目5:黑客上传的webshell文件名是
打开黑客上传一句话木马的post包根据上面的例子,在Hypertext Transfer Protocol这一行可以看到黑客上传的时a.php文件
flag:a.php
题目6:数据库所在的内网地址为
这里我直接搜字节流10. ,因为去搜了一下,内网地址是10.0开头的IP,192.168.和10.0.开头的IP、内网IP段、IP简介、分类——(IP观止)
并且看到源地址是192.168.94.59,所以可以断定这是黑客攻击的数据库的内网地址
flag:10.3.3.101
题目7:黑客找到的数据库密码是多少
可以在题目6中找到的包里看到password
flag:e667jUPvJjXHvEUv
题目8:分析检材2,数据库的版本号为
过滤mysql,可以看到version(版本)=5.5.49
flag:5.5.49
题目9:“dou_config”表中,“name”字段值是“tel的行中,“value”值是
直接搜索tel
flag:0659-8686868
题目10:获取了数据库中保存的邮箱账号和密码,其中sool@test.com的密码是
直接搜sool
找到密码的hash,md5解密
flaqaz123!@#
标签:取证,题目,DIDCTF,密码,flag,黑客,2022,post,请求 From: https://www.cnblogs.com/K4N0/p/18594765