在线靶场-墨者-电子数据取证1星-网络数据分析溯源(DNS服务器地址)

最新推荐文章于 2024-05-23 19:44:05 发布
最新推荐文章于 2024-05-23 19:44:05 发布
阅读量696 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 在线靶场-墨者题目 文章标签: 墨者学院-靶场题目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42079912/article/details/98968274

打开靶场网页,下载文件并解压。
在这里插入图片描述
根据题意找出这个DNS服务器IP地址。
使用Wireshark打开12.pcapng这个文件。
(当应用过程需要将一个主机域名映射为IP地址时,就调用域名解析函数,解析函数将待转换的域名放在DNS请求中,以UDP报文方式发给本地域名服务器。本地的域名服务器查到域名后,将对应的IP地址放在应答报文中返回。)
要找到DNS服务器,在Wireshark中过滤出DNS协议。发现有不同的ip地址向172.16.200.101这个IP地址请求DNS域名解析。所以172.16.200.101就是DNS服务器的IP地址。把该IP地址输入靶场网页,即可得到本题的key。
在这里插入图片描述

【实战学习】电子数据取证专题——网络数据分析溯源(下)
mozhe_的博客
03-14 2410
网络数据分析溯源(新增用户的身份证号) 背景介绍 某公司安全工程师抓取到一段Wireshark数据包,发现有人利用WebShell操作了数据库,请找到新增的用户的身份证号。 实训目标 1、掌握“Wireshark”的基本使用方法; 2、了解数据在网络中传输的过程和协议; 靶场地址:https://www.mozhe.cn/bug/detail/146 网络数据分析溯源(发布文章...
wincap 捕获本地 DNS 查询包并输出其IP,PORT,DOMAIN(完整版,附程序)
北飞雁
08-21 3690
这几天在实验室敲了几天代码,开始一直不知道怎么捕获DNS包,参考了许多的资料,终于弄明白了,现在和还不明白的朋友分享一下。。。 1.关于适配器那一块就跳过了,网上程序写的很清楚。 2.如何获得IP?port? 这个很简单,只需要把指针定义到IP首部,根据IP头部的结构输出相应的源和目的IP,PORT即可。 3.如何捕获DNS查询包? 这个对像我一样开始学的菜鸟比较头疼,其实很简单的额,打
墨者 - 网络数据分析溯源(DNS服务器地址)
吃肉唐僧的博客
07-17 995
输入dns命令直接过滤掉剩下dns包 最后发现172.16.200.101这个ip访问较多,因此断定为dns服务器
CTF-网络数据分析溯源(DNS服务器地址)
asd158923328的博客
08-24 2382
根据题意 进入环境,下载文件,用wireshark加载 wireshark筛选udp.port==53或者DNS 使用率最高的就是DNS服务器地址 验证ip获得key
网络数据分析溯源(DNS服务器地址)
qq_36933272的博客
09-05 1054
用wireshark打开包,用dns协议过滤 DNS服务器进行域名(domain name)和与之相对应的IP地址 (IP address)转换。DNS中保存了一张域名(domain name)和与之相对应的IP地址 (IP address)的表,以解析消息的域名。 所以只需要观察哪个ip接收到大量的域名解析的请求就可以判断了 输入172.16.200.101,得到key ...
网络数据分析溯源(新增账户的用户名)
qq_36933272的博客
09-06 665
wireshark打开数据包 因为有人用webshell操作了数据库,所以应该会有上传木马,用http.request.method ==“POST” && http contains "php"过滤 发现新增了一行users,在下一个包发现base64编码的字符串,猜测可能是sql语句 解码得到 显然用户名是zhangfei.9233,输入得到key ...
在线靶场-墨者-电子数据取证1-网络数据分析溯源(下载压缩包的IP地址)
weixin_42079912的博客
07-18 322
题目告诉我们其中有多个IP对目标服务器做访问,其中一个IP下载走一个DB.ZIP 的压缩包。要找出下载这个压缩包的ip。 根据这个压缩包。我们下载了靶场网页的文件后,在wireshark中打开并使用ctrl +f进行搜索DB.ZIP 根据搜索结果,可以得知是43.242.131.75这个ip下载了DB.ZIP。把此ip输入靶场网页,即可得到本题的key。 ...
网络数据分析溯源(登录的用户名)
2301_78136321的博客
12-06 449
3.找到爆破的IP地址为59.191.245.66,因为要找到成功登录的账号用户名所以接下来需要找到服务器正常回包的报文,使用这行命令http contains "OK" && ip.addr==59.191.245.66。2.因为爆破请求包一般为POST请求,且需要先找到爆破的IP地址,使用http.request.method == "POST"命令进行寻找。点击Length进行排序,得到唯一长度不一样的包,进行追踪流,得到账号密码。1.打开wireshark数据包。
网络数据分析溯源(新增用户的身份证号)
qq_36933272的博客
09-05 834
用wireshark打开数据包 根据提示,有人利用了webshell操纵了数据库,所以用http.request.method ==“POST” && http contains "php"过滤 发现xiaoma.php,按长度降序排列,依次查看 猜测ZGVsZXRlIGZyb20gY2FyZGlkIHdoZXJlIHVzZXJpZCA9IDQyMDEwMjE5ODUwMzA3Mj...
在线靶场-墨者-电子数据取证1-网络数据分析溯源(连接login.php的IP)
weixin_42079912的博客
07-18 354
1.在电脑上安装wireshark,打开下载文件 2.根据题意,我们可以知道有个ip连接过/admin_d98gD2@k/longin.php。在wireshark中输入http.request.uri=="/admin_d98gD2@k/login.php"可以查看到连接这个/admin_d98gD2@k/longin.php的ip 3.或者使用ctrl +f,进行搜索搜索含/admin_d9...
pcap数据包 DNS解析
03-05
对pcap包进行解析 获取DNS内容 C语言编写 可以对数据流进行处理
Wireshark协议分析之DNS.zip
03-15
文件包内含4个*.pcapng数据包,一个是简单的DNS查询,两个描述的是DNS递归查询,最后一个描述的是DNS完整区域传送,下载之后可以直接进行分析
从pcap的DNS流量中分离出隐藏信息
公众号shadow sock7
06-10 4817
参考: http://blog.youkuaiyun.com/u011500307/article/details/2583807589504e470d0a1a打开文件是一个pcap文件,在wireshark里面观察可以看到很多dns,这里第一个dns地址是89504e470d0a1a.asis.io,这个89504e470d0a1a是png的开始的几个数据,叫做magic numbers.➜ ~ he
CISCN2024 Day1 其中一题DNS
Fox_O1的博客
05-23 666
CISCN DNS抓包题目wp 题目内容:DNS的世界充满了多变的字符,接下来我将直接给你答案:56 16 26 93 66 53 16 56 d2 03 26 93 56
Wireshark TS | Packet Challenge 之 DNS 案例分析
热门推荐
7ACE的博客
12-23 2万+
Wireshark TS | Packet Challenge 之 DNS 案例分析
wireshark捕获选项不能用_wireshark文件及数据包操作
weixin_39523529的博客
11-23 1299
概述在使用wireshark中可能会遇到分割文件、合并文件、导出某个包等各种情景,熟练使用这些操作可以让分析工作事半功倍文件操作文件分割打开分割后的单个文件,可以通过File|File Set|List Files可以看出一共分割了多少文件(目录下必须存在分割后的文件才行)。通过单击分割后的文件可以迅速切换到对应的分割文件。如果使用了显示过滤器,此过滤器会作用到每个打开的文件上。capinfos ...
.pcapng文件格式和.pcap文件格式
书伯的博客
11-04 1万+
原网页 本文为机翻后人工修饰了一些,总结一句话就是 .pcapng是.pcap的升级版 pcap捕获文件格式自计算机网络早期以来一直是通用的包捕获格式。 几乎所有捕获工具都支持pcap格式。 虽然供应商多年来已经创建了新的格式,但大多数工具支持转换为pcap格式。 虽然pcap今天仍然使用,但它确实有一些限制,使其他格式更具吸引力。 一种名为“pcapng”的新格式已经开发多年了。 pcapng的目标是解决pcap的一些不足,并为未来创建一种灵活的格式。 CloudShark的pcapng支持将pcap.
网络工具 - wireshark 切割或合并pcap pcapng文件
迟来大师的博客
01-26 907
切割pcap/pcapng文件 c:\Program Files\Wireshark>editcap.exe editcap -c 10000 路径\src.pcap 路径\dest.pcap 合并pcap/pcapng文件 c:\Program Files\Wireshark>mergecap.exe mergecap -w destfile sourcefile1 sourcefile2
墨者学院WebShell文件上传漏洞分析溯源(1)
最新发布
04-03
### 墨者学院 WebShell 文件上传漏洞分析与溯源方法 #### 背景概述 WebShell 是一种嵌入到目标服务器中的脚本程序,攻击者可以通过它远程控制受害者的服务器文件上传漏洞通常允许攻击者通过伪造请求或其他手段绕过安全机制,在服务器上放置恶意脚本。 在墨者学院的相关题目中提到的内容涉及多个方面,包括 MIME 类型篡改、禁用 JavaScript 绕过前端验证以及利用后缀名规避检测等技术[^1]。 --- #### 漏洞成因分析 文件上传漏洞的主要原因在于服务端对上传文件的安全校验不足。具体表现为以下几个方面: 1. **MIME 类型校验不严格** 攻击者可以使用工具(如 Burp Suite)抓取 HTTP 请求并修改其 MIME 类型字段,从而绕过基于内容类型的限制。例如,将 `.txt` 文件伪装为 `image/jpeg` 格式的图片文件。 2. **依赖客户端验证** 如果仅依靠浏览器端的 JavaScript 验证来阻止非法文件类型,则容易被禁用或绕过。一旦禁用了 JavaScript 功能,就可以轻松提交不符合预期规则的文件[^2]。 3. **扩展名校验缺陷** 当某些应用只检查文件名而未深入解析实际内容时,可能会接受带有特殊后缀名(比如 `.php5`, `.pht` 等变种 PHP 扩展)的文件作为合法输入[^3]。这使得即使表面上看似正常的文件也可能隐藏潜在威胁。 --- #### 解决方案建议 为了有效防范此类问题的发生,可以从以下几方面着手改进防护措施: - 加强服务端逻辑设计, 不应单纯信任来自用户的任何数据; - 对于上传过程实施多重过滤策略, 如限定白名单内的 mime-type 和尺寸范围之外还需确认最终存储形式确实无害; - 定期审查现有代码库寻找可能存在的安全隐患点,并及时修补已知漏洞; 以下是实现上述部分功能的一个 Python 示例演示如何初步判断一个给定字符串是否可能是危险命令执行语句的一部分: ```python import re def is_potentially_dangerous(input_string): pattern = r'(?:exec|passthru|shell_exec|system|proc_open|popen)' match_result = re.search(pattern, input_string.lower()) return bool(match_result) test_strings = ["<?php echo 'hello'; ?>", "<?php system('ls'); ?>"] for s in test_strings: print(f"'{s}' -> {is_potentially_dangerous(s)}") ``` 此函数会返回 True 或 False 表明传入参数是否存在可疑的关键字组合。 --- #### 总结 通过对墨者学院案例的学习可以看出,针对 web shell 的防御工作需要综合考虑多层面的因素,从前端界面交互直至后台数据库操作均需保持高度警惕以防万一环节疏漏造成严重后果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值