攻防世界 xctf 工控安全取证 writeup

本文分析了黑客入侵工控设备后的扫描行为,通过Wireshark解析日志,识别出第4次扫描的数据包编号为155990,采用ICMP协议流量作为分析依据。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题目:

有黑客入侵工控设备后在内网发起了大量扫描,而且扫描次数不止一次。 请分析日志,指出对方第4次发起扫描时的数据包的编号,flag形式为 flag{}

1、下载后是一个capture.log,考虑到都是流量,改成wireshark能识别的后缀,capture.pcapng

2、打开后发现大量的tcp流量,不难发现,192.168.0.99是靶机,使劲被人攻击。

开始我的策略是手工分析出四个攻击时段的节点,于是就将时间显示格式调整为比较友好的类型,如图:

想以时间来区分,后来发现图样图森破,时间都很接近,那么多tcp怎么搞。

于是想到了协议,排序后,发现ICMP协议貌似刚好分成了四段(去掉了不成功的),如下:

那就以这个ICMP的流量作为开始吧,序号是155990,flag就是flag{155990}

发现是对的,纯粹运气啊,我也不知道为啥。

评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值