某天晚上安服仔小辉辉上班摸鱼期间突然发现服务器登入页面被挤掉线了,于是第六感告诉他,服务器肯定是被黑客攻击了,于是他赶紧把服务器的网线拔了并调取了那段时间的流量,然后慌忙的找到你,求求你救救安服仔吧(提示一:跳板)
1、找出恶意用户的 IP 地址,并将恶意用户的 IP 地址作为 Flag(形式:[IP 地址])提交;
打开数据包分析流量,这个数据包有点打干扰流量很多,统计一下IP地址看一下哪几个IP活动的最频繁
这里看到这几个内网IP最活跃,看一下他们都在干嘛,过滤一下138的流量
往下面翻看到138一直在对132进行telnet登录爆破,过滤telnet流量根据经验直接看最后一个看有没有成功登录
这里看到到最后138都没有对132进行成功登录,然后和133进行了连接,追踪流133
发现138是Linux kali 系统黑客常用的系统,看一下133发送了什么
133对138进行了登录并执行了命令,过滤一下133还干了什么,过滤IP地址
这里看到133和138通过telnet进行了连接,追踪流看一下
过滤一下133发给138的流量看到133先进行登录,然后升到root权限,用nmap扫描132IP的端口,看一下返回的流量
132开放了21,22,23,80,3389端口这个应该就是服务器IP,再看看133还干了什么
看到133和139访问了,通过3389端口,并且有大量的3389访问流量,猜测是远程桌面,过滤一下139的流量看看做了什么
看到有http包过滤一下http,前面已经找到服务器IP地址了,把服务器IP地址也加上
简单看一下,验证之前的想法。现在把得到的信息整理一下
192.168.90.133 对 192.168.90.138 进行了telnet登录
账户是 hello/123456 : root/123456
登录之后进行了nmap扫描192.168.90.132服务器的端口,再远程桌面登录192.168.90.139对192.168.90.132服务器进行访问,这里确定192.168.90.133是黑客地址
2、分析出恶意用户扫描了哪些端口,并将全部的端口作为 Flag(形式:[端口名 1,端口名 2,端口名 3…,端口名 n])从低到高提交;
上面黑客通过telnet登录进行了nmap扫描192.168.90.132服务器的端口
3、恶意用户最终获得靶机的密码是什么,并将密码作为 Flag(形式:[用户名]);
ip.src == 192.168.90.139 and ip.dst == 192.168.90.132
账户 administa.rator/YwQgj8eN 查看了系统信息和网络
4、找出目的不可达的数据数量,并将目的不可达的数据数量作为 Flag(形式:[数字])提交;
5、分析出恶意用户使用的最后一个一句话木马的密码是什么,并将一句话密码作为 Flag(形式:[一句话密码])提交;
ip.src == 192.168.90.139 and ip.dst == 192.168.90.132 and http
6、分析出被渗透主机的服务器系统 OS 版本全称是什么,并将 OS 版本全称作为 Flag(形式:[服务器系统 OS 版本全称])提交;
flag{Microsoft Windows Server 2008 R2 Standard }
这一篇到这里就结束了,就是干扰比较多,大家觉得难不难呢?
原文始发于微信公众号(信安一把索):流量分析 - 测试篇(参考)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/3945340.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论