171112 杂项-数据包分析（2）

1625-5 王子昂 总结《2017年11月12日》 【连续第408天总结】
A. CTF中的数据包分析（2）
B.

0x03

打开后发现是若干HTTP和TCP数据包
选中第一个，右击-Follow TCP stream

可以看出是在访问本地192.168.1.10的isg.php，向其POST了一些内容后，服务器端（蓝字）返回了http目录下的文件
对POST请求感兴趣的话可以将其复制下来进行URL解码（因为一些%40, %28等是URLencode的标志）：

对POST了解的话可以看到，第一个参数ISG2014的值是eval(xxx)，第二个参数z0的值是一大段乱码
而eval这个函数的意思是将后面一个字符串作为代码执行，即对z0的值进行b64decode
于是把它们解码试试：

这段代码就是对服务器回传内容的指示了，例如开头$D=base64_decode($_POST["z1"]);[email protected]($D)
是先解码z1参数（解码得知就是目录/var/www/html），然后打开目录
之后进行了文件遍历

估计这个PHP就是远程主机吧，遍历目录啥的~
后面几个流都可以通过这个方法得到php代码，我就不再赘述了

再往后跟第二个流（将左上角的”tcp.stream eq 0”改为”tcp.stream eq 1”）

这次返回的似乎是某个文件夹内的目录，更进一步了，再往后跟

这次从最后z1的参数可以猜出来是在查看Fisg.php的文件内容
该文件就是直接执行ISG2014的值，所以POST请求的时候ISG2014里包含了完整的代码呢
还是没有有用的东西，继续往后跟

这次同样通过z1的参数看出来是在查看Fx.tar.gz
不过由于是压缩文件，因此内容很多是不可见字符
我们将它的十六进制（->|和|<-之间的内容）复制下来即可

另存为tar.gz格式，打开

这个flag的意思是中国菜刀是个灵巧娇小的webshell
估计连上的工具是菜刀吧~就是用来连接入侵服务器的工具啦

C. 明日计划
CTF中的数据包分析（3）