0x00 已知条件
有人在内网发起了大量扫描,而且扫描次数不止一次,请你从capture日志分析一下对方第4次发起扫描时什么时候开始的,请提交你发现包编号的sha256值(小写)。
Hint1: 请提交PCTF{包编号的sha256}
解压出来是一个.log文件,依然是流量分析,Wireshark。
0x01 思考过程
打开发现情况如下图,ping过目标(IP 192.168.0.99)后,开始对不同的端口不断进行TCP SYN扫描。
image.png
-
一开始以为对不同端口算作一次,找了9号做sha256加密提交,失败;算上ping,7号,加密提交,失败。
-
因此认为对一台主机的所有端口扫描都算作一次。按照扫描一般规律,过滤出ICMP包(ping),如下图。
image.png
发现192.168.0.9 ping过3次,下面的三个不同源IP的ping都没有回应。于是将“第四次”(192.168.0.9的三次,192.168.0.1的一次)的编号155987加密提交,依然失败。
-
那么多半只能是按不同源IP算次数了。192.168.0.9的三次算一次,192.168.0.1和192.168.0.254的两次,那么第四次就是192.168.0.199了。它对应的编号为155989,加密提交,通过。
网友评论