流量分析 - 2023龙信杯 - 练习篇

admin 2024年12月16日13:27:55评论12 views字数 2611阅读8分42秒阅读模式

这一篇只做流量分析部分

2023年9月,某公安机关指挥中心接受害人报案:通过即时通讯工具添加认识一位叫“周微”的女人,两人谈论甚欢,确定网上恋爱关系,后邀约裸聊,受害人上钩后,“周微”和受害人进行裸聊,整个过程被涉诈团伙录音录像。同时周倩以自己做直播“涨粉”为由,引导受害人下载其事先制作好的木马APP,受害人安装该APP后,嫌疑人利用录制的视频和受害人的通讯录做要挟,从而实施诈骗。

公安机关接警后,通过技术手段抓取了一段流量包,且通过公安机关的侦查与分析,锁定了该诈骗团伙的业务窝点,据了解,该团伙成员通过Telegram 联系ETH币商收币,双方在线上确定好了交易时间和交易金额(交易额为300万人民币),并先由卖币方转0.5个ETH到买币方钱包。双方人员碰头后,商定分两笔交易交割,第一笔交易价值100万的虚拟货币、第二笔交易价值200万的虚拟货币。第一笔100万的币从卖币方的地址转到中转地址(由中间人控制),再由中转地址转到买币方提供的收币地址,买币方收到币后将带来的100万现金给卖币方清点,第一笔交易完成。 犯罪分子开始第二笔交易时,被警方当场截获。并将相关嫌疑人抓获,扣押安卓手机1部,笔记本电脑1台,调证服务器2台,以上检材已分别制作了镜像。检材清单见附件。请结合案情,对上述检材进行勘验与分析,完成以下题目。

流量分析 - 2023龙信杯 - 练习篇
检材密码:RLEQc2Xe65Q5GiCuRNMFrw==
通过VeraCrypt挂载拿到素材
流量分析 - 2023龙信杯 - 练习篇
流量分析 - 2023龙信杯 - 练习篇

解题思路

1. 分析“数据包1.cap”,请问客户端为什么访问不了服务器。

A.DDoS攻击

B.DoS攻击

C.SQL注入

D.文档攻击

打开流量包,先找出攻击者IP,把流量包滑倒最下面可以看到10.5.0.19这个IP一直在和服务器通信,那这个就是攻击IP,过滤一下它和服务器的通话流量看看做了什么

流量分析 - 2023龙信杯 - 练习篇

通过过滤攻击IP看到了很大一段流量是10.5.0.19和120.210.129.29一直在发tcp握手包所以这里能判断出来是Dos攻击

流量分析 - 2023龙信杯 - 练习篇
DoS与DDoS攻击的区别
DoS(拒绝服务)攻击的目的是使计算机或网络无法提供正常服务,通常通过利用系统漏洞或网络协议缺陷来实现。例如,攻击者可能会发送特制的数据包,导致目标系统崩溃或网络连接失败。DoS攻击通常来自单一的攻击源,这使得它相对容易被检测和防御。常见的DoS攻击手段包括TearDrop、Land、Jolt等。
DDoS(分布式拒绝服务)攻击则是DoS攻击的一种,它通过将多个计算机联合起来对目标发动攻击,从而大幅增加攻击力度。
DDoS攻击的特点是利用了TCP/IP协议的漏洞,并且攻击源分散,这使得追踪和防御变得更加困难。常见的DDoS攻击手段有SYNFlood、ACKFlood、UDPFlood等。
两者的主要区别在于攻击的规模和复杂性。DoS攻击通常由单个攻击者发起,而DDoS攻击则涉及多个攻击者(通常是被控制的“僵尸主机”),这导致DDoS攻击的破坏力和难以防御性都远超DoS攻击。
简单来说就是Dos攻击是一对一,DDOS是多对一

2. 分析“数据包1.cap”,出问题的服务器IP地址是_____(格式:127.0.0.1)

上面看到攻击机Dos攻击了,它攻击的那个IP应该就是出问题的服务器

120.210.129.29

3. 分析“数据包1.cap”,文件下发服务器的IP地址是_______。(标准格式:127.0.0.1)

题目里面提到了文件下发,那肯定就是可以下载文件的,过滤流量包里面http包看看

http && ip.addr==10.5.0.19
流量分析 - 2023龙信杯 - 练习篇

这里看到一个Java.log就是下发的文件了,10.5.0.19是攻击机,120.210.129.29是文件下发的服务器,下发了java.log文件给攻击机

120.210.129.29

4. 分析“数据包1.cap”,攻击者利用_______漏洞进行远程代码执行。(标准格式:小写,无中文)

攻击者利用漏洞进行了代码执行还是一样过滤攻击者IP

流量分析 - 2023龙信杯 - 练习篇

追踪流看到这里攻击者执行了whoami,流量包里面提到了@org.apache.struts2.ServletActionContext

(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream()))
流量分析 - 2023龙信杯 - 练习篇

那框架就是struts2

5. 分析“数据包1.cap”,请提取恶意文件,并校验该文件的MD5值为_______。(标准格式:abcd)

恶意文件这里提到,分析了一下题目就下载了一个文件,还让我找恶意文件,那就Java.log应该就是了,把两个文件导出来放沙箱里看看

过滤一下http的包,导出来

流量分析 - 2023龙信杯 - 练习篇

再看攻击者通过http对服务器进行的攻击构造,过滤一下Java.log然后追踪流看到流841通过wget下载了Java.log

流量分析 - 2023龙信杯 - 练习篇

流842看到了Java.log的数据流

流量分析 - 2023龙信杯 - 练习篇

流843 攻击者在自己电脑上把Java.log修改成后门文件上传上去了

流量分析 - 2023龙信杯 - 练习篇

流844 java.log的后门文件上传成功。

流量分析 - 2023龙信杯 - 练习篇

追踪流,原始数据保存出来,这个我前面的一些有写过这里就不再重复了

流量分析 - 2023龙信杯 - 练习篇

丢到微步沙箱里面去

https://x.threatbook.com/

流量分析 - 2023龙信杯 - 练习篇

196812eb6e5e7bed1546faa3c068518f

6. 分析“数据包2.cap”,其获取文件的路径是________。(标准格式:D:/X/X/1.txt)

打开数据包2,过滤http包,一眼就看出来了

流量分析 - 2023龙信杯 - 练习篇

但是有编码加密,要去解编码

https://www.toolhelper.cn/EncodeDecode/Url

流量分析 - 2023龙信杯 - 练习篇

C:/Users/Administrator/Downloads/新建文件夹/新建文件夹/mail.png

7. 分析“数据包2.cap”,文件下载服务器的认证账号密码是_______。(标准格式:123)

认证密码上一题下载了文件看他的数据包里面看到有授权但是加密了,需要解密

流量分析 - 2023龙信杯 - 练习篇
复制下来用base64解码看到账户和密码
https://www.toolhelper.cn/EncodeDecode/Base64
流量分析 - 2023龙信杯 - 练习篇

admin:passwd

8. 分析“数据包2.cap”,其下载的文件大小有________字节。(标准格式

追踪流,原始数据导出
流量分析 - 2023龙信杯 - 练习篇
右击查看属性
流量分析 - 2023龙信杯 - 练习篇
212696
到这里就完结了,有不对的地方评论区指教一下,谢谢

原文始发于微信公众号(信安一把索):流量分析 - 2023龙信杯 - 练习篇

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月16日13:27:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   流量分析 - 2023龙信杯 - 练习篇https://cn-sec.com/archives/3511582.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息