IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> 网络空间安全市赛Misc一道简单的流量分析题 -> 正文阅读

[网络协议]网络空间安全市赛Misc一道简单的流量分析题

这道题给了一个流量包,内部分了7个小题

题目介绍:


1、使用Wireshark查看并分析服务器桌面下的attack.pcapng数据包文件,通过分析数据包attack.pcapng找出黑客的IP地址,并将黑客的IP地址作为FLAG(形式:[IP地址])提交

2、继续查看数据包文件attack.pacapng,分析出黑客扫描了哪些端口,并将全部的端口作为FLAG(形式:[端口名1,端口名2,端口名3…,端口名n])从低到高提交;

3、继续查看数据包文件attack.pacapng分析出黑客最终获得的用户名是什么,并将用户名作为FLAG(形式:[用户名])提交;

4、继续查看数据包文件attack.pacapng分析出黑客最终获得的密码是什么,并将密码作为FLAG(形式:[密码])提交;

5、继续查看数据包文件attack.pacapng分析出黑客连接一句话木马的密码是什么,并将一句话密码作为FLAG(形式:[一句话密码])提交;

6、继续查看数据包文件attack.pacapng分析出黑客下载了什么文件,并将文件名及后缀作为FLAG(形式:[文件名.后缀名])提交;

7、继续查看数据包文件attack.pacapng提取出黑客下载的文件,并将文件里面的内容为FLAG(形式:[文件内容])提交。


1:首先可以在导出HTTP中查看攻击流量
在这里插入图片描述请添加图片描述

第一题的flag答案便是: [172.16.1.101]

2、查端口,我们找到黑客ip后便过滤ip,输入ip.addr==172.16.1.102
请添加图片描述
往下分析你会发现很集中的有端口扫描现象,黑客是通过37113来扫描的,你只需要看这些便可,便能得到flag,所以第二题flag为[21,23,80,445,3389,5007]

请添加图片描述

3/4两题、要分析出黑客最终获得的用户名就得找到黑客什么时候登录的,攻击点在哪里,那就用同样的方法,导出http处查看,发现有登录login请求,点击它便会自动跳转到那条流量,关闭导出框,对3747这条流量进行TCP追踪,这样便看到了用户名和密码,
第三题flag便是 [Lancelot]
第四题flag便是 [12369874]

请添加图片描述
请添加图片描述

5、第五题要找木马密码,同样的思路,跟第3、4题思路一样,找导出http看木马可能会在upload上传点,果然可以看到有个upload.php

请添加图片描述

一样的道理,追踪TCP流得到木马密码,flag便是 [alpha]

请添加图片描述

6、取出黑客下载的文件名字以及后缀,跟前面一样找攻击点,但是这次在导出并没有分析出有用的东西,这边我的方法有些另类,因为这种题肯定是按照流程出的,所以后面的flag必定在前面的基础之上的,所以我依旧追踪http看upload并对他进行TCP流追踪,然后关闭追踪选项,在上面过滤处tcp.stream eq 1205 往后进行过滤并且进行大致的TCP追踪(就只看第一条或后面几条流量),发现tcp.stream eq 1207有猫腻,看到flag.zip估计是答案了,便得到flag为[flag.zip]

请添加图片描述
(其实还有一种做法就是搜索flag,粉猪字节流搜flag刚好会显示那条流量也是跟上面追踪TCP得到的结果一样)

请添加图片描述

7、最后一题提取出黑客下载的文件(这边思路弯了),并将文件里面的内容为FLAG,这题有问题跟第6题思路一样,换过滤号,往后面分析 tcp.stream eq 1208 并且对第一条进行TCP流追踪,发现zip格式的ascii,将其提取放入hex保存

请添加图片描述

得到的ascii:

PK…aIM…>…flag.txtK.IL…M…K-*V.M.N-…Ry…PK…?.. …aIM…>…$… …flag.txt
. …&C.…y]&C.…,._…PK…Z…>…

请添加图片描述

其实很明显zip开头是504B0304这显然有问题,压缩包恢复不了,直接凉凉,到这里发现是思路问题
将其放入kali中进行分离流量包,binwalk -e分离可得

请添加图片描述

其中打开第一个压缩包(存在伪加密,直接用360压缩打开)便是flag.txt一样的文件
flag{Manners maketh man}

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2021-11-29 16:38:29  更:2021-11-29 16:39:37 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/26 9:45:41-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码