0x00 已知条件

有人在内网发起了大量扫描，而且扫描次数不止一次，请你从capture日志分析一下对方第4次发起扫描时什么时候开始的，请提交你发现包编号的sha256值(小写)。

Hint1: 请提交PCTF{包编号的sha256}

解压出来是一个.log文件，依然是流量分析，Wireshark。

0x01 思考过程

打开发现情况如下图，ping过目标（IP 192.168.0.99）后，开始对不同的端口不断进行TCP SYN扫描。

image.png

• 一开始以为对不同端口算作一次，找了9号做sha256加密提交，失败；算上ping，7号，加密提交，失败。

• 因此认为对一台主机的所有端口扫描都算作一次。按照扫描一般规律，过滤出ICMP包（ping），如下图。

  
  image.png
  

  发现192.168.0.9 ping过3次，下面的三个不同源IP的ping都没有回应。于是将“第四次”（192.168.0.9的三次，192.168.0.1的一次）的编号155987加密提交，依然失败。

• 那么多半只能是按不同源IP算次数了。192.168.0.9的三次算一次，192.168.0.1和192.168.0.254的两次，那么第四次就是192.168.0.199了。它对应的编号为155989，加密提交，通过。