流量分析 - 练习篇8 | CN-SEC 中文网

2025年3月7日13:04:47评论23 views字数 1279阅读4分15秒阅读模式

L1-8 流量分析

流量包描述：

某科技公司安全团队发现核心业务服务器存在异常网络活动。运维人员通过监控系统发现服务器在凌晨时段有大量流量波动，从内部服务器紧急下载了名为L1-8.pcap的数据包文件。安全分析师需要从这份数据包中还原攻击路径，获取黑客的入侵证据。

1.分析该文件，找出黑客入侵使用的协议，提交协议名称；

2.分析该文件，找出攻击者IP，提交IP地址；

3.分析该文件，找出黑客入侵获取的 zip 压缩包文件，提交压缩包文件名；

4.分析该文件，找出黑客入侵获取的敏感文件，提交敏感文件的文件名；

5.分析该文件，找出黑客入侵获取的敏感文件，提交该敏感文件泄露的时间；

6.分析该文件，找出关键信息，将找到的 Flag 值进行提交。

解题思路

找黑客入侵使用的协议，要先确定攻击者IP，先查看一下tcp的握手包

tcp.flags eq 0x12

这里看到10.0.0.179是服务器的IP，对88端口的IP进行追踪流没看到什么有信息的东西，可以排除，对587端口进行追踪流，看到有人在进行登录185.61.152.63是攻击者IP

这里攻击者登录了SMTP (扩展简单邮件传输协议)，发送了一张图片，猜测是攻击者进去对屏幕进行了截图

正常的图片命名格式应该不是这样的，只有截图是带时间，用base64进行了加密

 文件名 ：DESKTOP-M1JC4XX_2020_09_24_23_22_08.jpeg

题目里面提到还有一个压缩文件，知道攻击者是用smtp进行攻击的，过滤一下smtp看一下

过滤smtp然后对字符串进行搜索找到压缩文件，追踪流看到文件名

文件名：DESKTOP-M1JC4XX_2020_09_24_22_43_12.zip

敏感文件应该就是那一个屏幕截图了，看一下那个截图的时间

时间：Thu, 24 Sep 2020 19:22:09

现在需要把zip文件和图片还原，看里面的内容，因为邮件传输会把内容进行二进制传输加base64位的编码，所以我们把base64编码的内容进行解密。

把内容复制到1.txt里面，用base64 -d 进行解密

base64 -d 1.txt > 1.jpeg

查看图片

xdg-open 1.jpeg

应该是这个了 Working Folder - Shortcut

还有一个zip的敏感文件也解密打开看看

文件结构解析

文件路径Chrome/Default/Cookies作用：存储Chrome浏览器所有网站的Cookie信息（包括会话令牌、身份认证信息）。数据格式：SQLite数据库，需解密（Chrome使用AES-256-GCM加密，密钥存储在Local State文件中）。

文件路径Thunderbird/Profiles/fpe4bs4o.default-release/cookies.sqlite作用：存储Thunderbird邮件客户端相关的Cookie（如网页邮箱会话）。数据格式：明文SQLite数据库（通常未加密）。

这一篇到这里就结束了，感兴趣的师傅可以拿到流量包接着往下推，里面还放了别的信息。

原文始发于微信公众号（信安一把索）：流量分析 - 练习篇8

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

流量分析 - 练习篇8