在线靶场-墨者-电子数据取证1星-网络数据分析溯源(DNS服务器地址)

最新推荐文章于 2023-12-06 19:31:21 发布
最新推荐文章于 2023-12-06 19:31:21 发布
阅读量696 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 在线靶场-墨者题目 文章标签: 墨者学院-靶场题目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42079912/article/details/98968274

打开靶场网页,下载文件并解压。
在这里插入图片描述
根据题意找出这个DNS服务器IP地址。
使用Wireshark打开12.pcapng这个文件。
(当应用过程需要将一个主机域名映射为IP地址时,就调用域名解析函数,解析函数将待转换的域名放在DNS请求中,以UDP报文方式发给本地域名服务器。本地的域名服务器查到域名后,将对应的IP地址放在应答报文中返回。)
要找到DNS服务器,在Wireshark中过滤出DNS协议。发现有不同的ip地址向172.16.200.101这个IP地址请求DNS域名解析。所以172.16.200.101就是DNS服务器的IP地址。把该IP地址输入靶场网页,即可得到本题的key。
在这里插入图片描述

【实战学习】电子数据取证专题——网络数据分析溯源(下)
mozhe_的博客
03-14 2410
网络数据分析溯源(新增用户的身份证号) 背景介绍 某公司安全工程师抓取到一段Wireshark数据包,发现有人利用WebShell操作了数据库,请找到新增的用户的身份证号。 实训目标 1、掌握“Wireshark”的基本使用方法; 2、了解数据在网络中传输的过程和协议; 靶场地址:https://www.mozhe.cn/bug/detail/146 网络数据分析溯源(发布文章...
在线靶场-墨者-电子数据取证1-网络数据分析溯源(查找下载文件的内容)
weixin_42079912的博客
08-09 538
打开靶场网页,下载文件,解压后用wireshark打开。 根据题意我们知道某人从xxx.com网站上下载一压缩包,请找到压缩包内容。 从网站上下载走的是http协议,我们先过滤出http协议的数据来。 然后再使用Ctrl + F搜索zip。搜索中有一个1.zip和key.zip。看到key.zip我们便知道这个压缩包应该是题目中要查看内容的压缩包。 在wireshark中点击file>...
墨者 - 网络数据分析溯源(DNS服务器地址)
吃肉唐僧的博客
07-17 1001
输入dns命令直接过滤掉剩下dns包 最后发现172.16.200.101这个ip访问较多,因此断定为dns服务器
CTF-网络数据分析溯源(DNS服务器地址)
asd158923328的博客
08-24 2383
根据题意 进入环境,下载文件,用wireshark加载 wireshark筛选udp.port==53或者DNS 使用率最高的就是DNS服务器地址 验证ip获得key
网络数据分析溯源(DNS服务器地址)
qq_36933272的博客
09-05 1055
用wireshark打开包,用dns协议过滤 DNS服务器进行域名(domain name)和与之相对应的IP地址 (IP address)转换。DNS中保存了一张域名(domain name)和与之相对应的IP地址 (IP address)的表,以解析消息的域名。 所以只需要观察哪个ip接收到大量的域名解析的请求就可以判断了 输入172.16.200.101,得到key ...
网络数据分析溯源(新增账户的用户名)
qq_36933272的博客
09-06 667
wireshark打开数据包 因为有人用webshell操作了数据库,所以应该会有上传木马,用http.request.method ==“POST” && http contains "php"过滤 发现新增了一行users,在下一个包发现base64编码的字符串,猜测可能是sql语句 解码得到 显然用户名是zhangfei.9233,输入得到key ...
在线靶场-墨者-电子数据取证5-网络数据分析溯源(上传WebShell的IP地址)
weixin_42079912的博客
08-09 704
打开靶场网页,下载文件并压缩 根据题意发现有人成功上传了WebShell,请找到上传者的IP地址。 使用Wireshark打开21.pcapng文件,因为是上传WebShell,所以数据走得应该是http协议,使用POST请求方式。属于在Wireshark中输入http.request.method==POST。过滤出http协议POST请求的数据出来。查看数据,找到uploads上传,一般上传...
在线靶场-墨者-电子数据取证3-网络数据分析溯源(查找邮件内容)
weixin_42079912的博客
08-09 1095
打开靶场网页,下载文件并解压。 根据题目得知有终端給gmail@qq.com发过邮件,请找到邮件内容中的电话号码。 于是我们使用Wireshark打开16.pcapng文件。因为QQ邮箱使用的协议有:电子邮件读取协议(POP3和IMAP)、简单邮件传输协议(s mtp),所以我们先过滤s mtp协议内容。再按Ctrl + F搜索gmail@qq.com。得到一条数据。(标识邮件的收件人以 RCP...
在线靶场-墨者-电子数据取证1-远程电子数据取证-服务器分析(第5题)
weixin_42079912的博客
08-09 295
打开靶场环境,使用远程桌面连接。 方法一:进入主机后开始找寻key,最终发现key文本文件在C:WINDOWS路径下。 方法二:进入主机后,点击我的电脑>搜索>输入key进行搜索>搜索出来一个key文本文档,点开就是本题的key。 ...
在线靶场-墨者-电子数据取证1-远程电子数据取证-服务器分析(1)
weixin_42079912的博客
08-09 293
开启靶场环境发现只给了地址端口和用户名密码 : 于是我们打开远程桌面连接,连接进去。 根据解题方向,显示隐藏文件找到所在分区的Recycler文件夹。 使用搜索功能,搜索Recycler文件夹。搜索出来后,点进去看到key文本文件,打开即可获得key。 ...
在线靶场-墨者-电子数据取证2-日志文件分析溯源(SQL注入IP地址2)
weixin_42079912的博客
08-10 422
打开靶场网页,下载文件并解压。 根据题目有人对网站进行了SQL注入,分析日志找到该IP地址(使用记事本打开文件,界面太乱,不方便分析,而且打开后等待内容出现需要一段时间。) 使用Notepad++.7.7.1软件打开SQL.log文件,按Ctrl + F搜索union和order by。发现了在180927 14:56:59这个时间里,多次出现union和order by匹配查询。 于是使...
在线靶场-墨者-电子数据取证1-网络数据分析溯源(下载压缩包的IP地址)
weixin_42079912的博客
07-18 322
题目告诉我们其中有多个IP对目标服务器做访问,其中一个IP下载走一个DB.ZIP 的压缩包。要找出下载这个压缩包的ip。 根据这个压缩包。我们下载了靶场网页的文件后,在wireshark中打开并使用ctrl +f进行搜索DB.ZIP 根据搜索结果,可以得知是43.242.131.75这个ip下载了DB.ZIP。把此ip输入靶场网页,即可得到本题的key。 ...
在线靶场-墨者-电子数据取证1-Windows硬盘文件分析取证(连接过的FTP地址)
weixin_42079912的博客
08-09 283
打开靶场网页,下载文件并解压。 使用AccessData FTK Imager软件打开镜像。 下载地址:https://download.youkuaiyun.com/download/sunwen551/10839742 按照路径寻找index.dat文件([root]>Documents and Settings>lihua>Local Settings>History>H...
在线靶场-墨者-电子数据取证1-网络数据分析溯源(端口扫描的IP地址)
weixin_42079912的博客
08-09 612
打开靶场网页,下载文件并解压。 根据题意得知有一个IP在扫描445端口,利用MS17-010漏洞批量扫描服务器找到这个IP地址(Eternalblue通过TCP端口445和139来利用S MBv1和NBT中的远程代码执行漏洞,恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意...
在线靶场-墨者-电子数据取证1-Linux硬盘文件分析取证(SSH过的IP)
WEB渗透测试 从入门到萌新
03-27 1789
1、加载 2、挂载 3、查看历史命令的文件 4、搜索
在线靶场-墨者-电子数据取证1-日志文件分析溯源(中断WEB业务的IP)
weixin_42079912的博客
07-18 261
打开靶场网页,下载靶场文件,打开文件。从图中可以看出这个断开web业务的IP的与其他ip的POST请求的不同之处别人是200 56,它是200 385,并且在500出现时的前一个POST请求是223.166.36.84发出的,而且该数据还蕴含了关键字uploads和xiaoma.php,所以可以证明223.166.36.84是断开web业务的ip。 将此ip输入靶场网页,即可得到key。 ...
在线靶场-墨者-电子数据取证4-网络数据分析溯源(数据库密码)
weixin_42079912的博客
08-09 604
打开靶场网页,下载文件并解压。 根据题目,知道发现有人操作了数据库,请找到连接数据库的密码。于是使用Wireshark打开22.pcapng文件。开始查询连接数据库的密码。 我们知道数据库常用端口号是:mysql的默认端口是3306、sqlserver默认端口号为:1433、oracle 默认端口号为:1521、DB2 默认端口号为:5000、PostgreSQL默认端口号为:5432。但是查询...
在线靶场-墨者-电子数据取证1-电子数据取证-日志分析(1)
weixin_42079912的博客
08-09 604
打开靶场网页,下载文件并解压。 直接用记事本打开,界面比较乱,而且打开后要等很久才能显示内容,拖动会有卡顿要等一会才显示,不方便分析。 下载Notepad++软件。使用Notepad++软件打开日志文件。 根据题目得知网站被上传木马,上传文件所在文件夹为uploads。 既然是上传就应该是POST的请求方式,而且上传文件夹为uploads。 所以我们可以搜索POST /uploads(post...
网络数据分析溯源(登录的用户名)
2301_78136321的博客
12-06 449
3.找到爆破的IP地址为59.191.245.66,因为要找到成功登录的账号用户名所以接下来需要找到服务器正常回包的报文,使用这行命令http contains "OK" && ip.addr==59.191.245.66。2.因为爆破请求包一般为POST请求,且需要先找到爆破的IP地址,使用http.request.method == "POST"命令进行寻找。点击Length进行排序,得到唯一长度不一样的包,进行追踪流,得到账号密码。1.打开wireshark数据包。
墨者学院WebShell文件上传漏洞分析溯源(1)
最新发布
04-03
### 墨者学院 WebShell 文件上传漏洞分析与溯源方法 #### 背景概述 WebShell 是一种嵌入到目标服务器中的脚本程序,攻击者可以通过它远程控制受害者的服务器文件上传漏洞通常允许攻击者通过伪造请求或其他手段绕...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值