使用file命令查看capture.log,发现是pcap文件,修改后缀为.pcap
根据题目描述可以理解为两种意思:
一个IP的第四次扫描第四个IP的第一次扫描
分析流量包,发现了192.168.0.9、192.168.0.199、192.168.0.1、192.168.0.254共四个,流量包前面大部分都是192.168.0.9在进行SYN扫描192.168.0.99。如果题目意识是第一种意思,那么flag就应该为192.168.0.9的第四次扫描。
第四次扫描的数据包编号是11,提交flag发现不对。那么题目就应该是第二种意思,即第四个IP的第一次扫描。
继续分析每个IP的扫描包,不难发现每个IP扫描前,都进行了Ping操作,即第一次扫描都是Ping扫描。
所以第四个IP第一次扫描的包编号为:155989;源IP地址为:192.168便宜香港vps.0.199
flag{155989} 85997485
