在线靶场-墨者-电子数据取证1星-网络数据分析溯源(端口扫描的IP地址)

最新推荐文章于 2025-06-19 17:32:27 发布
最新推荐文章于 2025-06-19 17:32:27 发布
阅读量612 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 在线靶场-墨者题目 文章标签: 墨者学院-靶场题目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42079912/article/details/98968496
本文详细解析了如何通过Wireshark抓取网络数据包,利用MS17-010漏洞定位攻击者IP。通过分析TCP端口445的数据流,确定了恶意扫描服务器的源IP地址。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

打开靶场网页,下载文件并解压。
在这里插入图片描述
根据题意得知有一个IP在扫描445端口,利用MS17-010漏洞批量扫描服务器,找到这个IP地址。
(Eternalblue通过TCP端口445和139来利用S MBv1和NBT中的远程代码执行漏洞,恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。)

使用Wireshark打开10.pcapng文件。找寻TCP协议端口为445的数据包。输入tcp.port == 445。发现只有两个ip在进行通信。(还发现有SMB协议(Microsoft网络的通讯协议),SMB协议是基于TCP-NETBIOS下的,一般端口使用为139,445)

分析数据包,发现在SMB协议中172.16.1.100向172.16.1.101发出request(请求),而172.16.1.101给予response(答复)。
在TCP协议中看到数据从172.16.1.100的端口38237流向172.16.1.101的端口445。
根据以上因素,可以得出172.16.1.100就是利用MS17-010漏洞批量扫描服务器的ip地址。把此ip地址输入靶场网页即可得到本题的key。
在这里插入图片描述

在线靶场-墨者-电子数据取证1-Linux硬盘文件分析取证(MySQL操作记录)
weixin_42079912的博客
07-19 404
打开靶场网页,下载文件,下载文件后是压缩文件,解压后发现是img镜像文件。img文件需要挂载才能读取。于是下载AccessData FTK Imager软件。下载地址:https://download.youkuaiyun.com/download/sunwen551/10839742 下载完软件后,点开软件,按照下图步骤: 找到root文件里的.mysql_history文件,在文件中查看数据库更改的...
墨者学院-在线靶场
weixin_42730900的博客
02-23 4291
浏览器信息伪造 更改user-agent:Mozilla/5.0 (iPhone; CPU iPhone OS 8_0 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile/12A365 MicroMessenger/6.0 NetType/2G ## 来源页伪造
CTF-网络数据分析溯源(端口扫描IP地址)
asd158923328的博客
08-25 1607
根据题意 进入环境,下载文件,用wireshark打开 过滤命令进行过滤端口,连接最频繁的就是ip,验证ip得到key
渗透测试中新手必练的15个靶场,(非常详细)零基础入门到精通,收藏这篇就够了
最新发布
Libra1313的博客
06-19 1142
相信很多小伙伴们在学习渗透测试的时候,不知道如何开始,那么这下面15个靶场对你的学习将会有很大的帮助!
网络数据分析溯源(端口扫描IP地址)
qq_36933272的博客
09-05 707
wireshark打开下载的包 根据提示,有一个ip在扫描445端口,所以对目的端口445过滤tcp.dstport == 445 发现172.16.1.100一直通过445端口建立tcp连接 输入ip得到key
在线靶场
weixin_43977912的博客
05-06 288
在线靶场 DVMA: http://43.247.91.228:81/ XSS: http://59.63.200.79:8004/Feedback.asp 其他安全问题,可以关注我公众号咨询我
在线靶场-墨者-电子数据取证5-网络数据分析溯源(上传WebShell的IP地址)
weixin_42079912的博客
08-09 705
打开靶场网页,下载文件并压缩 根据题意发现有人成功上传了WebShell,请找到上传者的IP地址。 使用Wireshark打开21.pcapng文件,因为是上传WebShell,所以数据走得应该是http协议,使用POST请求方式。属于在Wireshark中输入http.request.method==POST。过滤出http协议POST请求的数据出来。查看数据,找到uploads上传,一般上传...
在线靶场-墨者-电子数据取证1-网络数据分析溯源(查找下载文件的内容)
weixin_42079912的博客
08-09 538
打开靶场网页,下载文件,解压后用wireshark打开。 根据题意我们知道某人从xxx.com网站上下载一压缩包,请找到压缩包内容。 从网站上下载走的是http协议,我们先过滤出http协议的数据来。 然后再使用Ctrl + F搜索zip。搜索中有一个1.zip和key.zip。看到key.zip我们便知道这个压缩包应该是题目中要查看内容的压缩包。 在wireshark中点击file>...
在线靶场-墨者-电子数据取证3-网络数据分析溯源(查找邮件内容)
weixin_42079912的博客
08-09 1096
打开靶场网页,下载文件并解压。 根据题目得知有终端給gmail@qq.com发过邮件,请找到邮件内容中的电话号码。 于是我们使用Wireshark打开16.pcapng文件。因为QQ邮箱使用的协议有:电子邮件读取协议(POP3和IMAP)、简单邮件传输协议(s mtp),所以我们先过滤s mtp协议内容。再按Ctrl + F搜索gmail@qq.com。得到一条数据。(标识邮件的收件人以 RCP...
在线靶场-墨者-电子数据取证1-远程电子数据取证-服务器分析(第5题)
weixin_42079912的博客
08-09 295
打开靶场环境,使用远程桌面连接。 方法一:进入主机后开始找寻key,最终发现key文本文件在C:WINDOWS路径下。 方法二:进入主机后,点击我的电脑>搜索>输入key进行搜索>搜索出来一个key文本文档,点开就是本题的key。 ...
在线靶场-墨者-电子数据取证1-远程电子数据取证-服务器分析(1)
weixin_42079912的博客
08-09 293
开启靶场环境发现只给了地址端口和用户名密码 : 于是我们打开远程桌面连接,连接进去。 根据解题方向,显示隐藏文件。找到所在分区的Recycler文件夹。 使用搜索功能,搜索Recycler文件夹。搜索出来后,点进去看到key文本文件,打开即可获得key。 ...
在线靶场-墨者-电子数据取证2-日志文件分析溯源(境外IP)
weixin_42079912的博客
08-10 716
打开靶场网页,下载文件并解压。 、 根据题意网站遭到境外ip攻击,请通过log,找到找到访问news.html最多的境外IP地址(使用记事本打开文件,界面太乱,不方便分析,而且打开后等待内容出现需要一段时间。) 使用Notepad++.7.7.1软件打开8.log文件,使用Ctrl + F搜索news.html。搜索出来后发现137.112.214.191这个ip访问news.html最多。 ...
墨者 - 网络数据分析溯源(发布文章的IP地址)
吃肉唐僧的博客
07-17 1177
下载文件,第一反应查找域名“www.xwast.org”的记录 太多了,无法精确定位 后来想起文章一般都用post提交的 http.host=="www.xwast.org" && http.request.method == POST 定位到ip ...
xss靶场在线靶场
小白的博客
09-09 1049
xss靶场在线靶场
在线靶场-墨者-命令执行2-PHPMailer远程命令执行漏洞溯源
weixin_42079912的博客
08-09 431
打开靶场网页,根据题意管理员留下的邮件测试页面。于是寻找邮件测试页面。 打开邮件测试页面。 使用邮件注入木马 You name:mozhe(随便输入) Your email:“abc”. -OQueueDirectory=/tmp/. -X/var/www/html/abc.php @abc.com(abc可更改) You message:<?php @eval($_POST[abc])...
在线CTF靶场
wmr123456001的博客
02-12 868
在线CTF靶场
在线靶场-墨者-代码审计1-密码学加解密实训(Base64转义)
weixin_42079912的博客
07-19 421
打开靶场网页,查看网页源码发现有后台备用管理地址,这一重要线索。 根据题目,我们知道这是base64值。于是我们进行base64解码。直接打开在线解码的网页(http://tool.oschina.net/encrypt?type=3),输入YWRtaW5fOXVzaGRzNy5waHA=,经过解码得到admin_9ushds7.php。把admin_9ushds7.php添加在靶场网页url后...
在线靶场-墨者- 代码审计1-密码学加解密实训(JavaScript分析)
weixin_42079912的博客
07-18 325
首先点开网页,右键点击查看网页源代码或者按F12键进入开发者模式,可以看到这一串代码,这串代码的意思是如果是输入的条件是moon则答对if(x==‘moon’),并跳转到2sdfadf.php页面得到key。所以我们可以得知题目的密码就是moon。 if(x==‘moon’) { alert(“恭喜您,答对了,获取Key”); window.open(“2sdfadf.php”,"_self");...
在线靶场-墨者-安全意识2-加解密练习(C语言)
weixin_42079912的博客
07-19 330
根据靶场提供的线索得知是将图片带入代码运行 编写代码 得到一个test.txt文件,点开文件,键盘按ctrl + F快速查询输入key,即可得到flag。将flag输入靶场网页即可得到本题的key。 ...
墨者学院WebShell文件上传漏洞分析溯源(1)
04-03
### 墨者学院 WebShell 文件上传漏洞分析与溯源方法 #### 背景概述 WebShell 是一种嵌入到目标服务器中的脚本程序,攻击者可以通过它远程控制受害者的服务器。文件上传漏洞通常允许攻击者通过伪造请求或其他手段绕...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值