[misc]SCAN 100

0x00 已知条件

有人在内网发起了大量扫描,而且扫描次数不止一次,请你从capture日志分析一下对方第4次发起扫描时什么时候开始的,请提交你发现包编号的sha256值(小写)。

Hint1: 请提交PCTF{包编号的sha256}

解压出来是一个.log文件,依然是流量分析,Wireshark。

0x01 思考过程

打开发现情况如下图,ping过目标(IP 192.168.0.99)后,开始对不同的端口不断进行TCP SYN扫描。


[misc]SCAN 100_第1张图片
image.png
  • 一开始以为对不同端口算作一次,找了9号做sha256加密提交,失败;算上ping,7号,加密提交,失败。

  • 因此认为对一台主机的所有端口扫描都算作一次。按照扫描一般规律,过滤出ICMP包(ping),如下图。


    [misc]SCAN 100_第2张图片
    image.png

    发现192.168.0.9 ping过3次,下面的三个不同源IP的ping都没有回应。于是将“第四次”(192.168.0.9的三次,192.168.0.1的一次)的编号155987加密提交,依然失败。

  • 那么多半只能是按不同源IP算次数了。192.168.0.9的三次算一次,192.168.0.1和192.168.0.254的两次,那么第四次就是192.168.0.199了。它对应的编号为155989,加密提交,通过。

你可能感兴趣的:([misc]SCAN 100)