通过百度网盘分享的文件:attack.pcapng
链接:https://pan.baidu.com/s/1VtJ5eTu-TOHwa5W9JmuKSw?pwd=4zyq
提取码:4zyq
--来自百度网盘超级会员V3的分享
题目描述:
假设您是一名网络安全工程师,需要对某公司的公司进行数据分析,分析黑客获取电脑权限进行的操作,我们本章主要以分析案例数据包进行分析关键数据
1.通过分析数据包 attack.pcapng 找出黑客的 IP 地址,并将黑客的 IP 地址作为 FLAG(形式:[IP 地址])提交
flag:[172.16.1.102]
2.继续查看数据包文件 attack.pacapng,分析出黑客扫描了哪些端口,并将全部的端口作为 FLAG(形式:[端口名 1,端口名 2,端口名 3…,端口名 n])从低到高提交;
flag:[21,23,80,445,3389,5007]
3.通过查看数据包文件 attack.pacapng 分析出黑客最终获得的用户名是什么,并将用户名作为 FLAG(形式:[用户名])提交;
flag:[Lancelot]
4.通过查看数据包文件 attack.pacapng 分析出黑客最终获得的密码是什么,并将密码作为 FLAG(形式:[密码])提交;
flag:[12369874]
5.通过查看数据包文件 attack.pacapng 分析出黑客连接一句话木马的密码是什么,并将一句话密码作为 FLAG(形式:[一句话密码])提交;
flag:[alpha]
6.通过查看数据包文件 attack.pacapng 分析出黑客下载了什么文件,并将文件名及后缀作为 FLAG(形式:[文件名。后缀名])提交;
flag:[flag.zip]
7.继续查看数据包文件 attack.pacapng 提取出黑客下载的文件,并将文件里面的内容为 FLAG(形式:[文件内容])提交;
flag:[flag{Manners maketh man}]
1,打开IPv4的统计图,一般出现频率较多的IP是攻击者的
怀疑IP为172.16.1.4,172.16.1.102,172.16.1.101
一般黑客会频繁POST请求或GET请求开展攻击,使用过滤器筛选 http.request.method==POST(http.request.method==GET亦可)
http.request.method==GET
可以看到都是172.16.1.102向172.16.1.101发送请求,那么172.16.1.102应该就是攻击者IP
2,一般的,黑客扫描工具通过tcp协议,那么可以过滤:ip.src==172.16.1.102&&tcp
由此看到了攻击者扫描了21,23,80,445,3389,5007这些端口
3,尝试过滤出攻击者提交POST请求登录的流量,一般会存在用户名 http.request.method==POST
存在着/login.php是登录页面,由此在数据包中得到用户名:Lancelot
4,在第3步的同时我们也得到了登录密码:12369874
5,还是第3步过滤出来的几条 http.request.method==POST
看到了/upload.php,鉴于文件上传漏洞的经验,NO.3768流量应该是攻击者上传的一句话木马,而且后缀名改为了图片以绕过前后端限制,追踪一下http流
发现一句话木马,这就是连接蚁剑的密码:alpha
6,还是第3步过滤出来的几条 http.request.method==POST
推测攻击者在蚁剑连接之后对服务器进行了操作,NO.3800条能够看到下载的文件:flag.zip
7,根据题目问题提示,应该需要进行文件分离操作,使用kali的foremoast
得到flag{Manners maketh man}
部分内容来自于网络,如有侵权请联系删除