这一篇只做流量分析部分
2023年9月,某公安机关指挥中心接受害人报案:通过即时通讯工具添加认识一位叫“周微”的女人,两人谈论甚欢,确定网上恋爱关系,后邀约裸聊,受害人上钩后,“周微”和受害人进行裸聊,整个过程被涉诈团伙录音录像。同时周倩以自己做直播“涨粉”为由,引导受害人下载其事先制作好的木马APP,受害人安装该APP后,嫌疑人利用录制的视频和受害人的通讯录做要挟,从而实施诈骗。
公安机关接警后,通过技术手段抓取了一段流量包,且通过公安机关的侦查与分析,锁定了该诈骗团伙的业务窝点,据了解,该团伙成员通过Telegram 联系ETH币商收币,双方在线上确定好了交易时间和交易金额(交易额为300万人民币),并先由卖币方转0.5个ETH到买币方钱包。双方人员碰头后,商定分两笔交易交割,第一笔交易价值100万的虚拟货币、第二笔交易价值200万的虚拟货币。第一笔100万的币从卖币方的地址转到中转地址(由中间人控制),再由中转地址转到买币方提供的收币地址,买币方收到币后将带来的100万现金给卖币方清点,第一笔交易完成。 犯罪分子开始第二笔交易时,被警方当场截获。并将相关嫌疑人抓获,扣押安卓手机1部,笔记本电脑1台,调证服务器2台,以上检材已分别制作了镜像。检材清单见附件。请结合案情,对上述检材进行勘验与分析,完成以下题目。
解题思路
1. 分析“数据包1.cap”,请问客户端为什么访问不了服务器。
A.DDoS攻击
B.DoS攻击
C.SQL注入
D.文档攻击
打开流量包,先找出攻击者IP,把流量包滑倒最下面可以看到10.5.0.19这个IP一直在和服务器通信,那这个就是攻击IP,过滤一下它和服务器的通话流量看看做了什么
通过过滤攻击IP看到了很大一段流量是10.5.0.19和120.210.129.29一直在发tcp握手包所以这里能判断出来是Dos攻击
DoS与DDoS攻击的区别
DoS(拒绝服务)攻击的目的是使计算机或网络无法提供正常服务,通常通过利用系统漏洞或网络协议缺陷来实现。例如,攻击者可能会发送特制的数据包,导致目标系统崩溃或网络连接失败。DoS攻击通常来自单一的攻击源,这使得它相对容易被检测和防御。常见的DoS攻击手段包括TearDrop、Land、Jolt等。
DDoS(分布式拒绝服务)攻击则是DoS攻击的一种,它通过将多个计算机联合起来对目标发动攻击,从而大幅增加攻击力度。
DDoS攻击的特点是利用了TCP/IP协议的漏洞,并且攻击源分散,这使得追踪和防御变得更加困难。常见的DDoS攻击手段有SYNFlood、ACKFlood、UDPFlood等。
两者的主要区别在于攻击的规模和复杂性。DoS攻击通常由单个攻击者发起,而DDoS攻击则涉及多个攻击者(通常是被控制的“僵尸主机”),这导致DDoS攻击的破坏力和难以防御性都远超DoS攻击。
2. 分析“数据包1.cap”,出问题的服务器IP地址是_____(格式:127.0.0.1)
上面看到攻击机Dos攻击了,它攻击的那个IP应该就是出问题的服务器
120.210.129.29
3. 分析“数据包1.cap”,文件下发服务器的IP地址是_______。(标准格式:127.0.0.1)
题目里面提到了文件下发,那肯定就是可以下载文件的,过滤流量包里面http包看看
http && ip.addr==10.5.0.19
这里看到一个Java.log就是下发的文件了,10.5.0.19是攻击机,120.210.129.29是文件下发的服务器,下发了java.log文件给攻击机
120.210.129.29
4. 分析“数据包1.cap”,攻击者利用_______漏洞进行远程代码执行。(标准格式:小写,无中文)
攻击者利用漏洞进行了代码执行还是一样过滤攻击者IP
追踪流看到这里攻击者执行了whoami,流量包里面提到了@org.apache.struts2.ServletActionContext
(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream()))
那框架就是struts2
5. 分析“数据包1.cap”,请提取恶意文件,并校验该文件的MD5值为_______。(标准格式:abcd)
恶意文件这里提到,分析了一下题目就下载了一个文件,还让我找恶意文件,那就Java.log应该就是了,把两个文件导出来放沙箱里看看
过滤一下http的包,导出来
再看攻击者通过http对服务器进行的攻击构造,过滤一下Java.log然后追踪流看到流841通过wget下载了Java.log
流842看到了Java.log的数据流
流843 攻击者在自己电脑上把Java.log修改成后门文件上传上去了
流844 java.log的后门文件上传成功。
追踪流,原始数据保存出来,这个我前面的一些有写过这里就不再重复了
丢到微步沙箱里面去
https://x.threatbook.com/
196812eb6e5e7bed1546faa3c068518f
6. 分析“数据包2.cap”,其获取文件的路径是________。(标准格式:D:/X/X/1.txt)
打开数据包2,过滤http包,一眼就看出来了
但是有编码加密,要去解编码
https://www.toolhelper.cn/EncodeDecode/Url
C:/Users/Administrator/Downloads/新建文件夹/新建文件夹/mail.png
7. 分析“数据包2.cap”,文件下载服务器的认证账号密码是_______。(标准格式:123)
认证密码上一题下载了文件看他的数据包里面看到有授权但是加密了,需要解密
admin:passwd
8. 分析“数据包2.cap”,其下载的文件大小有________字节。(标准格式
原文始发于微信公众号(信安一把索):流量分析 - 2023龙信杯 - 练习篇
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论