在线靶场-墨者-电子数据取证3星-网络数据分析溯源(查找邮件内容)

最新推荐文章于 2024-11-13 14:05:44 发布
最新推荐文章于 2024-11-13 14:05:44 发布
阅读量1k 收藏 2
点赞数
分类专栏: 在线靶场-墨者题目 文章标签: 墨者学院-靶场题目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42079912/article/details/98968138
版权
通过墨者学院的在线靶场挑战,针对邮件数据进行分析。利用Wireshark过滤SMTP协议,搜索gmail邮箱,追踪TCP数据流,解析Quoted-printable编码,最终找到电话号码18385628488作为关键线索。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

打开靶场网页,下载文件并解压。
在这里插入图片描述
根据题目得知有终端給gmail@qq.com发过邮件,请找到邮件内容中的电话号码。
于是我们使用Wireshark打开16.pcapng文件。因为QQ邮箱使用的协议有:电子邮件读取协议(POP3和IMAP)、简单邮件传输协议(smtp),所以我们先过滤smtp协议内容。再按Ctrl + F搜索gmail@qq.com。得到一条数据。(标识邮件的收件人以 RCPT TO: 的形式使用)
在这里插入图片描述
对此数据右键使用Follow,追踪TCP数据流(TCP stream),得到Quoted-printable编码。
在这里插入图片描述
使用Quoted-printable解码,可以得到电话号码为:18385628488。将该电话号码输入靶场网页,
即可的到本题的key。(Quoted-printable解码在线网站:http://web.chacuo.net/charsetquotedprintable)
在这里插入图片描述

最低0.47元/天 解锁文章
【愚公系列】2023年06月 网络安全(交通银行杯)-神秘的mail
时光隧道
05-28 9769
pcapng是一种网络抓包文件格式,它是Packet Capture Next Generation的缩写。与pcap文件格式相比,pcapng具有更好的灵活性和可扩展性,它支持多种数据块类型和多种数据流的捕获,同时也支持更多的元数据信息。pcapng格式的文件可以在多种网络工具和分析器之间进行共享和交换。SMTP(Simple Mail Transfer Protocol)是用于电子邮件传输的协议,它定义了电子邮件从发送客户端到接收客户端的传输方式。
网络数据分析溯源(发送邮件的IP地址)
qq_36933272的博客
09-02 711
下载数据包,用wireshark打开 利用SMTP过滤,搜索字符串admin@qq.com,按length从大到小排列, 逐个尝试ip,在172.16.212.247得到key
【实战学习】电子数据取证专题——网络数据分析溯源(下)
mozhe_的博客
03-14 2384
网络数据分析溯源(新增用户的身份证号) 背景介绍 某公司安全工程师抓取到一段Wireshark数据包,发现有人利用WebShell操作了数据库,请找到新增的用户的身份证号。 实训目标 1、掌握“Wireshark”的基本使用方法; 2、了解数据在网络中传输的过程和协议; 靶场地址:https://www.mozhe.cn/bug/detail/146 网络数据分析溯源(发布文章...
网络数据分析溯源(查找邮件地址)
qq_36933272的博客
09-05 1978
用wireshark打开数据包 用电子邮件协议过滤,如(Simple Mail Transfer Protocol),然后搜索protonmail@qq.com 发现protonmail@qq.com接收数据的包 追踪tcp流,发现来源的邮箱 输入得到key ...
在线靶场-墨者-电子数据取证1-网络数据分析溯源(查找邮件地址)
weixin_42079912的博客
08-10 1159
打开靶场网页,下载文件并解压。 根据题意有终端給境外protonmail@qq.com发过邮件,请找到这个发件人的邮件地址。 使用Wireshark打开15.pcapng文件,由于是邮件发送。过滤smtp、imap、pop3协议的数据包,文件中只有smtp协议数据包,其他两种没有。过滤出smtp数据包后,按Ctrl + F 搜索protonmail@qq.com。搜索出来有相应的数据包。或输入s...
在线靶场-墨者-电子数据取证1-网络数据分析溯源(发送邮件的IP地址)
weixin_42079912的博客
08-09 409
打开靶场网页,下载文件并解压。 根据题意:有人在内网給admin@qq.com发送过邮件,请找到这个IP终端。 使用Wireshark打开13.pcapng这个文件。因为是发送QQ邮件信息,所以过滤出smtp协议的数据。过滤出来后,使用Ctrl + f搜索admin@qq.com。即可得出172.16.212.247这个ip向admin@qq.com发送过邮件。把该ip地址输入靶场网页即可得到本...
墨者 - 网络数据分析溯源(查找下载文件的内容)
吃肉唐僧的博客
07-23 1118
下载文件,根据题目要求寻找解压文件 猜测是zip文件,直接字符串搜索 找到一个key.zip,想着直接看他的数据,没有出现类似传输数据的字符 后来参考了链接:https://zhuanlan.zhihu.com/p/31512066 试着追踪该包的tcp流 发现key.jpg,直接以原始数据导出来,.zip后缀 解压可获得key的图片 ...
在线靶场-墨者-电子数据取证1-网络数据分析溯源(查找下载文件的内容)
weixin_42079912的博客
08-09 525
打开靶场网页,下载文件,解压后用wireshark打开。 根据题意我们知道某人从xxx.com网站上下载一压缩包,请找到压缩包内容。 从网站上下载走的是http协议,我们先过滤出http协议的数据来。 然后再使用Ctrl + F搜索zip。搜索中有一个1.zip和key.zip。看到key.zip我们便知道这个压缩包应该是题目中要查看内容的压缩包。 在wireshark中点击file>...
在线靶场-墨者-电子数据取证5-网络数据分析溯源(上传WebShell的IP地址)
weixin_42079912的博客
08-09 688
打开靶场网页,下载文件并压缩 根据题意发现有人成功上传了WebShell,请找到上传者的IP地址。 使用Wireshark打开21.pcapng文件,因为是上传WebShell,所以数据走得应该是http协议,使用POST请求方式。属于在Wireshark中输入http.request.method==POST。过滤出http协议POST请求的数据出来。查看数据,找到uploads上传,一般上传...
【实战学习】电子数据取证专题——网络数据分析溯源(上)
mozhe_的博客
03-04 3666
电子数据取证专题-网络数据分析溯源 新题来了!!! 网络取证网络入侵事件、网络犯罪活动进行证据获取、保存、分析和还原,它能够真实、连续地获取网络上发生的各种行为;能够完整地保存获取到的数据,并且防篡改;对保存的原始证据进行网络行为还原,重现入侵现场。 网络数据分析溯源(爆破扫描的IP地址) 背景介绍 某公司安全工程师抓取到一段Wireshark数据包,其中一IP对目标服务器做爆破扫描攻击扫...
在线靶场-墨者-电子数据取证1-网络数据分析溯源(登录QQ的IP地址)
weixin_42079912的博客
07-18 303
1.首先电脑想安装Wireshark,下载靶场网页提供的文件,打开文件。 2.qq登录时使用OICQ协议,于是在Wireshark中过滤OICQ协议的数据,发现只有172.16.133.227这一地址在登录QQ,于是这个地址便是我们需要查找的ip,把此地址输入靶场网页后,即可得到key。 ...
Wireshark协议分析之SMTP.zip
03-14
该压缩文件内含四个*.pcapng数据包,可以用来完成SMTP协议分析,其中的三个是模拟SMTP跨域进行邮件传输,最后一个是使用SMTP发送 附件的数据包,可以打开直接进行分析
网络数据分析溯源(查找下载文件的内容)
qq_36933272的博客
09-05 794
wireshark打开下载的包 先用http过滤,因为是压缩包,所以搜索关键字zip 把这个key.zip压缩文件导出来 解压得到图片
红蓝对抗-记一次HW攻防测试溯源实例
lza20001103的博客
08-29 858
记一次攻防演练溯源实例 文章目录记一次攻防演练溯源实例前言开展溯源 前言 在今年的攻防期间,通过安全设备告警分析,需要对某个源攻击IP进行溯源反制,并且需要记录整个溯源过程和提交溯源报告。 开展溯源 研判 在溯源之前,首先应该判断是否真的存在攻击行为,攻击的特征,攻击类型,攻击者意图都是需要搞清楚的,不能盲目地对某个IP就展开溯源,这样不仅方向跑偏了,又浪费了时间。 经过研判分析,判断IP(106.14.x.x)确实存在恶意攻击,这里就不再叙述如何研判的了,经验丰富的师傅们一看就知道了,确定IP之后,作为防
溯源小技巧(邮箱、域名、电话、qq)
ZeroDay001的博客
02-04 1868
正常来说,他们都会做代理来发邮箱的,但是有些人没做,看到IP其实没什么大的用处,因为这是当时发的IP地址,打个比方,我在甘肃的某个地方边走边发的邮件,然后发完我就走到了其他地方,IP再发一次也会随着变化。再说另一种情况,就是用服务器来发送邮件信息,如果找到服务器的IP地址,万一他是用国内的IP,再绑定国内的域名,然后他还实名了,这不就溯源到了吗(哪里有那么完美的场景,也不排除可能有)有些whois查询能带来意想不到的惊喜,比如可以看到这里有他绑定的qq邮箱而且是没有隐藏的那种。直接点击箭头所指的地方。
从钓鱼邮件溯源到反制上线
weixin_52501704的博客
12-06 747
趁空隙提前看了下他们的QQ信息,没有在sgk里查到,涉及个人QQ:151******(董事长***), 192******(监事***)。过了3分钟,骗子说钱到账了,让我赶紧查下,并发了一张某银行的汇款单,大眼一过还以为真的,结果放大一看转账金额那一块是PS上去的,标红框的都是假的,那就继续跟他玩。再深入一点点,发现了骗子的其他社交帐号的密码本(玩的还挺花,应该是买的黑号)。通过已有的信息未搞到骗子的真实身份,为了不引起警觉,并未做过多的动作,所以想先放到池塘里,通过社工的方式慢慢钓。
渗透测试应急响应溯源小技巧(邮箱、域名、电话、qq)
ZeroDay001的博客
11-13 579
接下来就是舒服的内网渗透了,上一台机器查看装有火绒,将事先免杀处理好的马传上去,上线到cs,便于读取密码,但是并没有将密码读取出来,然后立马转变手法,直接导出lsass进程的dmp文件,通过本地离线读取,成功获取到。然后我们直接将上述数据包保存,sqlmap一把梭,确实存在注入,但是无法--os-shell,所以无法进行更深一步利用,虽然我读取了站点管理员账户密码,进后台一顿操作,依旧没有可以利用的点,此路不通,放弃。通过漫长时间的等待,果然,web服务是开设在其它端口上的,如下,五红旗在迎风飘扬。
墨者学院phpMyAdmin后台文件包含分析溯源
最新发布
12-28
### PHPMyAdmin 文件包含漏洞分析与溯源 #### 背景介绍 PHPMyAdmin 是一款广泛使用的 MySQL 数据库管理工具,允许管理员通过 Web 界面执行各种数据库操作。然而,在某些版本中存在安全漏洞,可能导致远程攻击者利用这些漏洞执行任意代码或读取敏感文件。 #### 漏洞详情 该漏洞存在于特定条件下未正确验证用户输入的情况下,使得攻击者能够绕过正常的安全检查机制并触发文件包含行为。具体来说: - 攻击者可以通过构造恶意请求来操纵 `$target` 变量的值[^1]。 - 如果目标参数不是 `import.php` 或 `export.php` ,则可能被成功利用[^3]。 #### 利用过程解析 当拥有足够的权限以及知道服务器上的绝对路径时,攻击者可以尝试向指定位置写入恶意脚本。例如: ```sql SELECT &#39;<?php phpinfo(); ?>&#39; INTO OUTFILE &#39;/var/lib/mysql/test.php&#39;; ``` 这段 SQL 语句会创建一个新的 PHP 文件 `/var/lib/mysql/test.php` 并将其内容设置为调用 `phpinfo()` 函数的结果[^2]。 #### 风险评估 一旦上述命令被执行,任何访问此新生成 `.php` 文件的人都能看到当前环境配置信息,这不仅泄露了重要的系统细节还为进一步渗透提供了便利条件。 为了防止此类事件的发生,建议及时更新至最新稳定版次,并遵循最小化授权原则严格控制对关键资源的操作权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值