需要数据包私

1.通过分析虚拟机windows7桌面上的数据包B.pcapng，找到数据库里的flag最后一个字符是什么，将该字符作为FLAG提交；

2.通过分析数据包B.pcapng，找到黑客扫描到的主机IP是多少将该IP作为FLAG提交；

3.通过分析数据包B.pcapng，找到服务器的内核版本是多少，将该版本信息作为FLAG提交;

4.通过分析数据包B.pcapng，找到黑客扫描网段的命令是什么？，将该命令作为FLAG提交;

5.通过分析数据包B.pcapng，找到黑客通过一句话木马上传的第一个文件是什么，将文件名作为FLAG提交；

6.通过分析数据包B.pcapng，找到黑客从服务器上下载的文件，将文件内容作为FLAG提交
 

首先这个包还是有难度的，第一道题目是找到数据库中flag最后一个字符，通过搜索字符串flag找出：

}

下一道题目就是找到靶机的ip地址：

直接上一个过滤规则：tcp.flags.reset==1这个就看有没有存活：

 

192.168.10.12

下一道题目就是找到内存版本号：

那就是肯定是进行了渗透，我们找一下http包:

找到一个m.php：

 

内核版本号就找到了。

下一道题目找到黑客扫描网段的命令：

 

发现http数据包中开始上传文件，于是我们看一下上传了什么文件：

 

发现少了一个socket.py的文件，顺着这个思路继续寻找：

 

发现一行base64编码，解码看一下是什么东西：

 

发现了执行的命令，扫描网段的命令就是这个。

python RASscan.py 192.168.10.10 192.168.10.110 -t 20 > log.txt

下一道题目就是连接一句话木马之后上传第一个文件是什么。

那就顺着刚才包的思路继续寻找：

 

那就是socks.py这个文件。

下一道题目就是找到从服务器上下载文件并从其中得到flag。

我们使用导出http文件导出m.php中最大的那个包：

 

导出：

导出之后是一个压缩包，压缩包中有一张图片，但是无法打开图片，

 

但是查看16进制确实是图片的格式，那就只有一种可能16进制被被人修改：

我们使用两张图片的值进行对比：

 

正常：

 

看到了嘛，图片的头步删掉了一些东西，我们现在将图片少的东西进行插入：

 

得到flag: