[纵横网络靶场社区]工控安全取证_后缀


使用file命令查看capture.log,发现是pcap文件,修改后缀为.pcap

[纵横网络靶场社区]工控安全取证_扫描流量分析_02


根据题目描述可以理解为两种意思:

  • 一个IP的第四次扫描
  • 第四个IP的第一次扫描

分析流量包,发现了192.168.0.9192.168.0.199192.168.0.1192.168.0.254共四个,流量包前面大部分都是192.168.0.9在进行SYN扫描192.168.0.99。如果题目意识是第一种意思,那么flag就应该为192.168.0.9的第四次扫描。

[纵横网络靶场社区]工控安全取证_IP_03


第四次扫描的数据包编号是11,提交flag发现不对。那么题目就应该是第二种意思,即第四个IP的第一次扫描。

[纵横网络靶场社区]工控安全取证_IP_04


[纵横网络靶场社区]工控安全取证_工控CTF_05


[纵横网络靶场社区]工控安全取证_IP_06


[纵横网络靶场社区]工控安全取证_扫描流量分析_07

继续分析每个IP的扫描包,不难发现每个IP扫描前,都进行了Ping操作,即第一次扫描都是Ping扫描。

所以第四个IP第一次扫描的包编号为:155989;源IP地址为:192.168.0.199

[纵横网络靶场社区]工控安全取证_后缀_08

flag{155989}