前言: 实验机kali(Kali Linux)
任务一 打开数据包
1.某公司网络系统存在异常,猜测可能有黑客对公司的服务器实施了一系列的扫描和攻击,使用Wireshark抓包分析软件查看并分析Kalilinux的/root日录下dump.pcapng数据包文件,找到黑客的IP地址,并将黑客的IP地址作为Flag值(如:172.16.1.1)提交;
使用以下过滤规则进行过滤,发现黑客的IP地址为172.16.1.110
任务二 端口分析
2.继续分析数据包文件dump.pcapng分析出黑客通过工具对目标服务器的哪些服务进行了密码暴力枚举渗透测试,将服务对应的端口依照从小到大的顺序依次排列作为flag(如:77/88/99/166/1888)提交;
使用过滤规则tcp.connection.syn and ipsrc == 172.16.1.110,由于扫描端口过多不再-一截图,通过过滤!P地址后,可以发现黑客扫描了21/22/23/801330
任务三 主机名分析
3.继续分析数据包文件dump.pcapng,找出黑客已经获取到的目标服务器基本信息,请将黑客获取到的目标服务器主机名作为Flag值提交;
使用过滤规则ip.addr == 172.16.1.110 and telnet contains “login”
任务四 服务器版本号
4.黑客扫描后可能首先对目标服务器的某个服务实施了攻击,继续査看数据包文件dump.pcapng分析出黑客成功破解了哪个服务的密码,并将该服务的版本号作为Flag值提交
使用过滤规则ip.addr == 172.16.1.110 and tcp.port == 3306进行筛选
通过追踪其中一个登录的数据包发现了数据库的版本信息version=5.7.26
任务五 木马
5.继续分析数据包文件dump.pcapng,黑客通过数据库写入了木马,将写入的木马名称作为Flag值提交(名称不包含后缀);继续使用上一题的过滤规则:
发现序号6197中的info信息一栏,选中该数据包然后选择追踪流--TCP流
可以看到这个数据包中,黑客已经成功进入数据库,并开始查询数据库信息
任务六 密码
6.继续分析数据包文件dump,pcapng,黑客通过数据库写入了木马,将黑客写入的一句话木马的连接密码作为Flag值提交;
任务七 文件名
7.继续分析数据包文件dump.pcapng,找出黑客连接一句话木马后查看了什么文件,将黑客查看的文件名称作为Fag值提交;黑客上传的一句话木马horse,php,根据这个线索,我们接下来对包含horse,php字段的http协议的数据包进行过滤,公式为http contains"horse.php
依次对这三个数据包进行追踪流的操作,发现最后两个会话流中都遍历了/etc/passwd文件。
任务八 英文单词提交
8.继续分析数据包文件dump.pcapng,黑客可能找到异常用户后再次对目标服务器的某个服务进行了密码暴力枚举渗透,成功破解出服务的密码后登录到服务器中下载了一张图
片,将图片文件中的英文单词作为Flag值提交。
从上面的步骤中我们可以发现黑客査看了passwd文件,通过分析文件可以看到有一个suictsr247用户
对该字段进行搜索,使用快捷键Ctr+F打开数据包显示过滤器,搜索字符串为suictsr247的数据包
发现黑客对目标靶机实施ftp暴力破解,使用过滤规则ftp contains“230”进行过滤,过滤出Response返回值230即成功登录ftp服务器的数据包。
过滤后发现有登录成功的提示(Loain successful),黑客已经获得了ftp服务器的密码,并成功登录到了靶机的服务器中。对上面的数据包进行追踪流
会话流中我们发现了fiagjpg的文件大小为56489字节即接近56Kb大小的文件极有可能为下载的图片文件,下面使用过滤公式ftp-data来过滤服务器发送数据的流量。
选择任意一个包,跟踪流-跟踪TCP流
接下来我们选择显示和保存为原始数据
选择Raw源数据,然后点击Save as 保存为jpg文件进行查看。
任务十 实验结束
扫一扫
3110
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
