【CTFshow 电子取证】套的签到题

🍬 博主介绍👨‍🎓 博主介绍：大家好，我是 hacker-routing ，很高兴认识大家~
✨主攻领域：【渗透领域】【应急响应】 【Java、PHP】 【VulnHub靶场复现】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯（一键三连）😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限，欢迎各位大佬指点，相互学习进步！

---

目录

1、前言

2、flag1

3、flag2

4、flag3

---

1、前言

解压缩流量包的密码：

A_H@_H3re_15_Ur_PaSSuu0rd_S4y_tk5_f0r_Taoshen!!!

利用wearshark打开：

2、flag1

经题目介绍，说这个流量包是记录作者网站被偷了，并且还拿到了作者平台的信息，那么很有可能hack利用了某些比如蚁剑之类的工具连接，上传了某些PHP木马文件子类的，这个我们需要首先考虑。

利用检索语句，挨个看php后缀的包，发现一个upload文件上传的包，我们追踪流细看下，但是没有什么发现，但是验证了我们开始说的，hack应该就是上传了某php木马

tcp contains "php"

我们验证下有没有什么POST之类的包，使用过滤语句筛选下，发现存在很多的POST包，

http.request.method==POST

这个流量特征之前见过，是蚁剑的流量特征，蚁剑命令执行的流量是通过base64混淆的，往后翻翻，感觉还没完，大家再在http包里面检索“50a026070”，这个是蚁剑的特征，发现一串base64编码的字符串

50a026070

50a026070cDRydDFfeTAwX3lvdV9jcmFja19teV93cHdlYg==\n
50a026070这九位也是蚁剑混淆返回包生成的，base解密时候要去除

拿到flag1：p4rt1_y00_you_crack_my_wpweb

3、flag2

我这里发现登录包，存在很多404，像是存在爆破

tcp contains "php"

一直检索，然后挨个看包，突然看到了flag下面有一串像是base64编码的字符串

成功拿到了flag2，now_you_can_submit_flag2

4、flag3

在http流量包里面，看到了这个账号和密码，其实我看一些WP里面，这里是可以找到这个登录的url的，然后输入账号密码，就可以在作者的博客里面找到flag3了

但是我这里访问不了，就一个一个流量包看，看的我头都晕了！！！

但是最终还是找到了flag，oh_you_got_the_part_3

最终答案为：ctfshow{p4rt1_y00_you_crack_my_wpweb_now_you_can_submit_flag2_oh_you_got_the_part_3}