#
Misc:Forensics2
(1)解题前的准备(将出现的各种协议的作用弄懂)
-
ICMP:用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用
-
ARP: 通过已知的MAC地址查询IP地址;
-
SSHv2:Secure Shell(SSH)是一种加密 网络协议,用于在不安全的网络上安全地运行网络服务。
-
NFS: 允许客户端主机可以像访问本地存储一样通过网络访问服务器端文件。
-
Mount: 从客户端的角度来说,NFS 中的第一个操作称为 mount,Mount 代表将远程文件系统加载到本地文件系统空间中。
-
Portmap端口映射是一个服务器,将RPC程序号转换为DARPA的协议端口号,在使用RPC调用时它必须运行。 portmap进程的主要功能是把RPC程序号转化为Internet的端口号。
-
RPC: RPC协议假定某些传输协议的存在,如TCP或UDP,为通信程序之间携带信息数据.
(2)思考
信息肯定被某个协议携带,由于Portmap运行了,所以猜想由RPC的功能使某些协议能携带数据,猜想为TCP或者NFS。
(3)解题过程
-
首先过滤TCP分组,但是并未发现有携带信息的明显特征。
-
然后过滤NFS分组,发现其中有 falg.txt.gz文件
- 将NFS分组按后缀分为不同类型,如GETATTR、ACCESS、LOOKUP等。分别分析不同后缀的NFS分组的内容,最终找到contents:
- 右键点击选择 显示分组字节,由于是.gz文件,所以在新窗口选择解码为压缩文件,最终得到flag。
(4)学习总结
这一题对我来说已经不算简单,花费了较长的时间,而且对于知识的掌握并不是很熟悉,还是需要多练习同类型的题目(PS:今天找申学长的时候可能太晚,所以今天没有得到第二阶段的测试是什么,只能选择继续解题)
