流量分析——安恒科技(八月CTF)

已于 2022-02-24 11:29:50 修改
阅读量6k 收藏 24
点赞数 6
文章标签: 安全 web安全 网络
于 2022-01-13 17:24:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/JohnnyG2000/article/details/122468290
版权

流量分析

一、题目背景

某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题

二、关卡列表

1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器

2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)

3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)

4 某公司内网网络被黑客渗透,请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码

5 某公司内网网络被黑客渗透,请分析流量,黑客在robots.txt中找到的flag是什么

6 某公司内网网络被黑客渗透,请分析流量,黑客找到的数据库密码是多少

7 某公司内网网络被黑客渗透,请分析流量,黑客在数据库中找到的hash_code是什么

8 某公司内网网络被黑客渗透,请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么

9 某公司内网网络被黑客渗透,请分析流量,被黑客攻击的web服务器,网卡配置是是什么,提交网卡内网ip

10 某公司内网网络被黑客渗透,请分析流量,黑客使用了什么账号密码登陆了mail系统(形式: username/password)

11 某公司内网网络被黑客渗透,请分析流量,黑客获得的vpn的ip是多少

三、解题过程

1、黑客使用的扫描器

打开webone.pcap流量包,按照协议类型逐一查询。当看到http协议的时候,发现了明显的AVWS扫描器特征。
在这里插入图片描述
通过 http contains acunetix 命令可以发现更多awvs的特征,说明黑客是用awvs扫描器进行扫描的。
此时也可得知黑客所使用的IP地址可能是192.168.94.59,这个IP地址到后面会有一定的作用。
在这里插入图片描述

2、黑客扫描到的登陆后台

登陆后台99%使用的是POST方法,直接使用过滤器过滤。

http.request.method=="POST"

在这里插入图片描述
找出存在rec=login的流量,通过追踪TCP流,如果看到是302重定向,基本就是表示登陆成功。
在这里插入图片描述
可以看到第一个就是302重定向了。
此处只是示例,后面还有很多是302重定向的流量,此处省略。

3、黑客登陆web后台所使用的账号密码(形式:username/password)

通过上题的查询,发现有很多302重定向登陆成功的结果,有很多不同的账号密码,为了确定黑客所使用的,根据第一题所查找的黑客的ip地址192.168.94.59,并得出上题查询的登录流量存在rec=login,再次使用过滤语句过滤。

http.request.method=="POST" and ip.src==192.168.94.59 and http contains "rec=login"

在这里插入图片描述
由于通过过滤之后,仍存在众多302重定向登陆的流量,逐一进行追踪TCP流这种方法不现实,因此根据其它大师以往的经验,直接追踪

最低0.47元/天 解锁文章
Johnny.G
关注
安恒八月流量分析 (详细的解题过程和思路(mailtwo.pcap,mailtwo1.pcap,mailtone.pcap,mailtwo.pcap等)
路baby的博客
10-13 2743
安恒八月流量分析 (详细的解题过程和思路(mailtwo.pcap,mailtwo1.pcap,vpnone.pcap,vpntwo.pcap,mailtone.pcap,mailtwo.pcap) ctf-流量分析
流量分析_安恒八月月赛
Lemon's blog
07-09 4421
前言: 流量分析很有意思,之前忙于考试,暂时没有学习了,考试结束了就来总结一下一些CTF下常见的流量分析的题型。 0x00:流量包修复 使用wireshark打开流量包发现报错,可以使用
流量分析常用总结——安恒八月月赛(根据https://blog.51cto.com/u_15400016/4291217参考,编写自己的想法)
qq_41818842的博客
10-13 945
当黑客扫描到后台登陆页面时,肯定会先使用万能密码和弱口令进行尝试,而登陆页面一般都是​​POST​​请求,万能密码和弱口令一般都是含有​​admin​​的,而且登陆页面一般是有​​login​​这个关键字的,所以可以利用这些进行过滤。输入命令:http.request.method=="POST" &&http contains "eval" 进行追踪。输入命令http.request.method ==POST&& http contains "main"进行过滤。php @eval"
CTF安恒周周练1-9题+解析
最新发布
gitblog_06768的博客
04-12 368
CTF安恒周周练1-9题+解析 【下载地址】CTF安恒周周练1-9题解析 探索CTF竞赛的奥秘,提升你的信息安全实战技能!本资源精心整理了CTF安恒周周练第1至9题,涵盖丰富多样的训练题目,并附带详细的解题解析。无论你是信息安全初学者,还是希望进一步提升的爱好者,这些内容都将助你深入理解CTF竞赛的技巧与策略。通过实战演...
流量分析安恒八月月赛)
Loners_fan的博客
01-10 4135
文章目录流量分析一、题目背景二、关卡列表三、解题过程1.黑客使用的扫描器2.黑客扫描到的登录后台3.黑客登录使用的账号密码4.webshell文件名和内容5.robots.txt中的flag6.数据库密码7.hash_code8.黑客破解了账号ijnu@test.com得到的密码是什么9.被黑客攻击的web服务器,网卡配置是什么,提交网卡内网ip10.黑客使用了什么账号登陆了mail系统11.黑客获得的vpn的ip是多少 流量分析 一、题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web
记一次流量分析实战——安恒科技八月ctf
热门推荐
Battery的博客
05-07 14万+
一.题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题。 二.关卡列表 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器? 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是? 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台? 某公司内网网络被黑
流量分析安恒八月赛)
whale_waves的博客
11-23 1266
这里看a.php流量,能发现a.php用的是1234作为密码,并且从@eval并且传输参数base64加密来看,看起来像是菜刀的特征。这道题似乎是想让你看黑客通过webshell来看robots.php的流量,我做到后面分析黑客通过webshell执行的命令才看到。这里我直接查找的POST流量,这里能明显看到,黑客在成功登陆以后通过某个东西上传了一个a.php文件。这里能看到黑客在登陆后成功访问了admin/index.php,所以上一条流量就是成功登录的账户密码。
流量分析——安恒八月月赛CTF
xiaogaoxiaoyuan的博客
01-09 3848
一、题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可) 3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:
安恒事件流量分析
尘玥的故事
06-01 1508
常见的WEB扫描器有Awvs,Netsparker,Appscan,Webinspect,Rsas,Nessus,WebReaver,Sqlmap。(回302的意思是服务器内部还要重定向到另外一个地址,就好比登陆成功时返回了302 然后要跳转到首页。所以可以确定黑客扫描到的登陆后台是/admin/login.php?会考察攻击者使用的是哪一种扫描器,所以在做这类题之前,先要了解各个扫描器所含的特征。如果黑客扫描到后台,一定会进行大量尝试账号密码,一定是以POST方式进行的。对常见扫描器的流量分析
安恒周周练15(流量分析1~4)——20180902
原味瓜子、的博客
09-02 3211
题目:https://pan.baidu.com/s/1139Qisn8H3TmOboj5puY9Q 提取码:bp6f 题目描述 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户,随后利用破解的密码登录了mail系统,然后获取了vpn的申请方式,然后登录vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下列问题: 过程分析: 1、攻击web服务...
安恒8月应急响应题目回顾-附件资源
03-02
安恒8月应急响应题目回顾-附件资源
安恒ctf misc crypto 培训资料合集
10-06
安恒CTF Misc Crypto培训资料合集】是一份涵盖了加解密技术、RSA算法、隐写术以及图片隐写等信息安全领域的综合学习资源。这个资料包特别关注在网络安全竞赛(CTF)中常见的Miscellaneous(杂项)和Cryptography...
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。 浙江金融系
流量分析----CTF
qq_50854662的博客
10-10 2891
流量分析----CTF
CTF 流量包相关-流量分析(1)
qq_56815564的博客
04-28 1万+
前面的flag不论是直接给你明文,还是有一定的编码,都是比较简单的,像这些十成甚至九成都会是签到题,所以了解一下知道有这种情况就好,重点不再这边另外这里还是给出一下风佬的脚本吧,虽然我感觉用到的几率应该不会很大,如果要用的话,那个破空查flag的工具应该会比较好用,下载的话,风佬的git里面应该有,这里就不给了。
CTF--杂项--猫片(安恒)100
weixin_43426549的博客
11-24 1241
BugkuCTF 猫片 题目 我们把png文件
CTF-安恒19年二月月赛部分writeup
weixin_33968104的博客
02-26 1845
CTF-安恒19年二月月赛部分writeup MISC1-来玩个游戏吧 题目: 第一关,一眼可以看出是盲文,之前做过类似题目 拿到在线网站解一下 ??41402abc4b2a76b9719d911017c592,那么就奇怪了,这个??是什么东西,数一下加上??正好32位,应该是个MD5了,索性直接百度一下, 第一关答案出来了,试过了MD5值不对,hell...
CTF——杂项3.流量取证技术
woo233的博客
09-09 3820
先用wireshark筛选http的流量,假如没有则筛选tcp的流量,因为getshell是在命令行中执行的,可以用tcp contains “command”在关注的http.数据包或tcp数据包中选择流汇聚,可以将HTTP流或TCP流汇 聚或还原成数据,在弹出的框中可以看到数据内容。在关注的http.数据包或cp数据包中选择流汇聚,可以将HTTP 流或TCP流汇聚或还原成数据,在弹出的框中可以看到数据内容。比如查看数据包的时候,有的数据包有某种特征,比如有http(80)。Data数据单独复制出来。
CTF菜鸟X计划安恒CTF helloworld apk
qq_40872999的博客
09-12 1856
ctf网络安全攻防之卓apk,helloworld,卓反编译题 这道题在比赛中因为缺少工具而没有做出来,在比赛完之后我猜想这是一道apk反编译题于是我便下了一个apk反编译工具,在春雪工具里面(春雪工具) 一个名叫做ApkToolkit的工具 直接将.apk文件拖拽到这个程序路径处,有详细说明 然后生成了一个类似于解压过后的一个文件夹,里面的文件后缀名不是以.java命名, 然后用idea i...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值