实验链接:http://www.shiyanbar.com/ctf/1813
数据包样本:http://ctf5.shiyanbar.com/misc/zhua
题目:Hint:入侵者通过 ping 工具对局域网内一主机进行存活性扫描, flag 为入侵所 发送的 16 字节的数据包内容。
分析:根据题目来看,ping,这句话告诉我们,一定要关注icmp包。因为ping发出的是icmp包
--详见网络基础。可以参考CCNA学习体系或者HCNA学习体系。当然,这里因为私心推荐了华为的clickHere
flag为16字节的数据,告诉我们。找一个16bytes的内容。范围已经缩小很多。
这是一个数据包分析的题目。
操作:下载数据包样本。下载以后,发现是个无后缀的文件,根据题目提醒,既然是数据包,那么后缀为pcap,因为wireshark数据分析包的后缀就是这个。
双击打开这个数据包,在wireshark的过滤框输入icmp回车。
挨个双击包进行查看,单击也可以。第一个包是正常的,没有看到异常data,从第二个包开始,最后一部分出现了一个16bytes的内容。
data已经被发现了,直接把这串数字复制出来,粘贴到答题框提交即可。如果直接复制值,需要去掉分号。
一开始我没有去掉分号,耽误了很长时间。