13.通过对流量包attack进行分析,该数据流量包的sha1的是多少?(格式填写小写字母与数字组合 如abc23dedf445) (5分)
用wireshark打开流量包,“统计”-“捕获文件属性”。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)")
7f66df0b59bb5d633a1cb3dbe7acfbb7455458cc。
14.通过对流量包attack进行分析,捕获第一个数据报文的时间是?(格式按年-月-日 填写 如:yyyy-mm-dd 如2000-01-23) (10分)
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)")
15.通过对流量包attack进行分析,捕获流量包时使用的接口数量(格式填写数字 如:10) (5分)
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)")
16.通过对流量包attack进行分析,获取被攻击的服务IP是多少?(格式数字与.组合填写 如:10.10.1.1) (5分)
题目没有说明攻击的类型,而常见的攻击主要分为流量攻击和漏洞利用等几种类型。为了便于我们推测攻击手法,可以先查看流量较大的几个IP,wireshark里点击”统计”-“conversation”。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)")
确定流量较大的IP后,我们需要进一步推测这些IP是基于什么协议发起的。点击“统计”-“协议分级”,从协议的高低层次进行排查,发现HTTP层协议较多。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)")
过滤器中输入“http”,存在大量404状态码,推测被某扫描器进行漏洞扫描。根据服务端找到IP192.168.32.189。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)")
17.通过对流量包attack进行分析,得知攻击者IP是多少?(格式数字与.组合填写 如:10.10.1.1) (5分)
方法如上,根据请求端找到攻击者IP192.168.94.59。
18.通过对流量包attack进行分析,得知黑客使用的扫描器是?(5分)
过滤器里设置规则:http.request && ip.addr == 192.168.94.59 ,将来自192.168.94.59的HTTP请求包过滤出来,然后逐一排查相关数据包,发现相关HTTP协议中被注入扫描器的包头,根据特征推断是awvs。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)")
19.通过对流量包attack进行分析,得到黑客对服务器网站扫描到的登录后台是:(格式填写相对路径 ,使用小写字母、 / 和其他字符组合 如:/www/wwwroot) (10分)
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)")
20.通过对流量包attack进行分析,得到其人事登录网站服务器的密码是?(格式填写字母与数字组合 如:abc123) (5分)
经过对前面登录流量包的分析可知,登录入口在/admin/login.php中,于是在过滤器中输入规则:http.request.uri contains "admin/login" ,倒着梳理登录HTTP包,发现最后一个就是人事的密码。比较坑的是,由于“人事”被url编码,无法通过搜索功能查找,当然大家可以尝试将相关关键字url编码,然后查找流量包中包含该url编码的数据。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)")
21.通过对流量包attack进行分析,得知黑客使用什么账号密码进行登录网站后台?(格式填写小写字母 、数字、 / 、其它字符组合 如:username/password) (10分)
这里提一个小技巧,根据服务器的状态码来判断登录结果。众所周知,状态码302为重定向、200为请求成功、404为资源不存在、403为目录权限导致不能列出等,因此我们可以通过状态码来判断是否登录成功。
过滤器中输入规则:http.response.code == 302 ,这时候发现倒数第二个登录包重定向到了管理员首页(倒数第一个是上一题),因此我们需要追溯该回复包的请求包中的账号密码即可。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)")
选中该数据包,右击“追踪流”-“tcp流”。该选项可以将该数据包的“上下文”通过右下角的“流”展示出来,当然“HTTP流”则是仅展示HTTP层协议的请求与回显,没有查看上下文的功能。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)")
提取密码并进行url解码。在Notepad++选中该密码,“插件”-“MIME Tools”-“URL Decode”将url解码,得到admin的登录密码:admin!@#pass123。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)")
答案:admin/admin!@#pass123。
22.通过对流量包attack进行分析,得到黑客第一次上传的webshell文件名是什么?(格式填写小写字母、数字、 .组合 如:user.js或者user.php ) (5分)
这里仍通过过滤POST包来查找webshell,发现客户端疑似对webshell(a.php)进行操作,且服务器有相关响应,因此推断webshell为a.php。当然对于该webshell怎么产生的,本人并没有梳理出来。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)")
23.接着上题分析,黑客上传的内容是什么?(格式填写数字 如:123456) (5分)
24.通过对流量包attack进行分析,黑客在robots.txt中找到的flag是什么?(格式填写小写字母与数字组合 如:ab6767gdgd9870) (5分)
过滤器输入规则:http,在海量HTTP包里搜索关键字robots.txt,接着查看上下文来查找flag内容。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)")
也可以过滤器中输入:http.request.uri contains robots.txt ,将所有请求robots.txt的客户端筛选出来,接着通过TCP流功能来追溯服务器响应内容。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)")
87b7cb79481f317bde90c116cf36084b。
25.通过对流量包attack进行分析,捕获这些数据报文的一共时间是?(格式 按小时:分:秒 填写 如:hh:mm:ss 如00:01:23) (5分)
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)")
26.通过对流量包attack进行分析,HTTP Request Packets占总的HTTP Packets百分比多少?(格式填写数字、. % 组合 如:11.11% 百分比保留小数点后二位) (5分)
Wireshark里点击“统计”-“HTTP”-“分组计数器”,统计结果为52.39%。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)")
27.通过对流量包attack进行分析,已提取出黑客之前曾经从数据库服务器盗取的数据文件hack.jpg,对其分析,得知该文件一共包含几个数据表?(格式填写数字 如:1) (10分)
此题的坑在于,让人误以为分析中国菜刀脱裤操作过程中的流量包,实则是一道隐写题。使用binwalk -e HACK.jpg命令将图片中的压缩包提取出来,解压得到一个SQL文件,导入到本地MySQL完成还原再查看数据表即可。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)")
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)")
28.接上题customername为Singal Gift Stores的电话号码为?(格式填写数字 如:1112222222) (5分)
在navicat里搜索关键字即可,比较坑的是客户的名字拼错了...需要换个关键字。
![如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)]( "如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)")
原文始发于微信公众号(信息时代的犯罪侦查):如解剖麻雀般地回忆一场小型电子数据取证竞赛(2)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1196895.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论