1. 题目信息
题目背景:运维人员在日常安全检查的时候发现现场某设备会不时向某不知名ip发出非正常的ICMP PING包。这引起了运维人员的注意,他在过滤出ICMP包分析并马上开始做应急处理很可能已被攻击的设备,附件给出可疑流量包。
2. 分析
流量分析题,分析的方法基本上有:binwalk、查找一些可疑字符串或16进制数据,排序流量包的长度(最长的流量包一般很可疑);当我们对流量包的长度进行排序时,发现流量包最短90字节,最长也不过164字节,其中的data段数据长度从48到122,而ascii表中第48至122个字符为0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[]^_`abcdefghijklmnopqrstuvwxyz,于是将每个流量包的长度转换为对应字符,然后连接成一段长字符串,看上去像base64编码,对字符串进行base64解码即可!
3. 解题
实现的Python脚本如下:
from pyshark.capture.file_capture import FileCapture
from base64 import b64decode
from sys import argv
def solve(file_name):
packets=FileCapture(input_file=file_name)
res=''
for packet in packets:
for pkt in packet:
if pkt.layer_name=='icmp' and int(pkt.type,16):
res+=chr(int(pkt.data_len))
return b64decode(res)
if __name__=='__main__':
print solve(argv[1])
程序运行结果如下:
$ python solve.py fetus_pcap.pcap
::
mongodb:!:17843:0:99999:7:::
ubuntu:$6$LhHRomTE$M7C4n84UcFLAG{xx2b8a_6mm64c_fsociety}::