Carnage

花了两天学了下wireshark

顺便看一下现在我的红队进程

由于ad在进攻性渗透测试当中已经早早收入囊中,这让我在红队进度中变快

现在,红队路径剩下的room应该都算是在整个path当中比较有难度的了,我不经意的查看了剩下的部分room,我想这需要比以往更多的时间和精力去学习它

在此之前,我需要巩固过去的知识,顺便完成最近的比赛

Bartell Ltd 采购部门的 Eric Fischer 收到了一封来自已知联系人的电子邮件,其中包含 Word 文档附件。打开文档后,他不小心点击了“启用内容”。SOC 部门立即收到端点代理的警报,指出 Eric 的工作站正在出站建立可疑连接。从网络传感器中检索 pcap 并交给您进行分析。

任务:调查数据包捕获并发现恶意活动。

与恶意 IP 的第一次 HTTP 连接的日期和时间是什么?

调整显示时间的格式

显示过滤器过滤http即可获得答案

下载的 zip 文件的名称是什么?&& 从中下载 zip 文件的恶意 IP 的网络服务器的名称是什么?

http.request.uri contains ".zip"

如果不下载文件,zip 文件中的文件名称是什么?

选定上个任务中的流量,导出对象 -> HTTP,将第一条documents.zip保存到本地

打开文件即可获得答案

从中下载 zip 文件的恶意 IP 的网络服务器的名称是什么?&& 上一个问题的网络服务器版本是什么?

查找服务器发送的http包

ip.src == 85.187.128.24 && http

恶意文件从多个域下载到受害主机。这项活动涉及的三个域是什么?

根据题目提示,在指定时间范围内

查找tls客户端请求类型的数据包

frame.time >= "Sep 24, 2021 16:45:11" && frame.time <= "Sep 24, 2021 16:45:30" && tls.handshake.type == 1

哪个证书颁发机构向上一个问题中的第一个域颁发了SSL证书?

跟到那个数据包的位置,在查找certificate类型的数据包,就能找到答案

Cobalt Strike服务器的两个IP地址是什么?使用 VirusTotal(“社区”选项卡)确认 IP 是否被标识为 Cobalt Strike C2 服务器

根据题目要求,使用 VirusTotal 进行恶意分析

首先将会话统计,我觉得c2通信的通信量应该不会少,所以将数据量降序排列,丢到VirusTotal进行分析

上一个问题中第一个CS服务器 IP 地址的主机标头是什么?

ip.dst == 185.106.96.158 && http

Cobalt Strike服务器的第一个IP地址的域名是什么?

第二个CS服务器IP的域名是什么?

有两个,旧的是答案,最新的域名可能出在房间建立之后

受害主机发送到感染后流量中涉及的恶意域的前 11 个字符是什么?

发送到 C2 服务器的第一个数据包的长度是多少?

上一个问题中恶意域的服务器标头是什么?

跟过去找到响应头

该恶意软件使用 API 来检查受害者机器的 IP 地址。对 IP 检查域进行 DNS 查询的日期和时间是什么? && 上一个问题的 DNS 查询中的域是什么?

dns.qry.name contains "api"

看起来有一些恶意垃圾邮件(恶意垃圾邮件)活动正在进行。在流量中观察到的第一个邮件发件人地址是什么?

lower(smtp.req.parameter) contains "from"

观察到 SMTP 通信有多少个数据包?

TryHackMe-Carnage相关推荐

  1. TryHackMe学习笔记-Windows PrivEsc Arena

    文章目录 Task 1 Connecting to TryHackMe network Task 2 Deploy the vulnerable machine Task 3 Registry Esc ...

  2. tryhackme圣诞挑战2021-Advent of Cyber 3-day2-越权漏洞,修改cookie

    文章目录 背景 开始学习! HTTPS GET Cookies cookie的组成成分 操纵cookie 答题 背景 McSkidy需要检查其他员工是否被入侵了,但是员工的信息被黑了,你能修补回来然后 ...

  3. TryHackMe学习笔记-The Cod Caper

    文章目录 概述 端口扫描 80端口漏洞利用 Web页面访问 目录扫描 SQL注入 命令执行 - 初始立足点 敏感文件查找 LinEnum 提权 gdb 利用pwntools溢出 hashcat破解ha ...

  4. TryHackMe | Blue Writeup (超干货详细msf渗透使用指南)

    文章目录 前期准备 Task1 Recon scan the mechine How many ports are open with a port number under 1000? What i ...

  5. TryHackMe新手村

    注册是需要谷歌的,需要特殊上网手段. TryHackMe 最近在外网发现了一个在线黑客学习网站:TryHackMe ,缺点是好像需要一些上网技巧,而且全英,免费用户每天只能用一小时,付费(大概一个月6 ...

  6. SQL注入(基于 tryhackme 的讲解)

    一.什么是SQL注入 SQL注入攻击(SQL Injection),简称注入攻击.SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞.在设计程序时,忽略了对输入字符串中夹 ...

  7. 【Tryhackme】Hacker of the Hill #1

    免责声明 本文渗透的主机经过合法授权.本文使用的工具和方法仅限学习交流使用,请不要将文中使用的工具和渗透思路用于任何非法用途,对此产生的一切后果,本人不承担任何责任,也不对造成的任何误用或损害负责. ...

  8. Tryhackme blue

    前提 openvpn连入内网: 下载配置文件,链接内网后启动靶机 任务1 主机扫描 command:nmap -sV -vv --script vuln 10.10.78.216 任务2 启动msf ...

  9. Tryhackme -Skynet(考点:smb 密码爆破 cuppa RFI cronjob - tar提权)

    1 扫描 忘了截图了,就是445 smb和80http 重要,一个进去找敏感文件,另一个进去搜集信息. 2 web信息搜集 gobuster扫gobuster dir -u http://10.10. ...

  10. TryHackMe - Dav靶场

    Dav boot2root machine for FIT and bsides guatemala CTF 0x01 信息收集 常规Nmap扫描目标机器收集端口开放服务信息,只开放了一个端口 0x0 ...

最新文章

  1. 鼠标控制,扇形的大小
  2. 【WebRTC---入门篇】(十三)WebRTC音视频数据采集
  3. scipy.stats
  4. java图片框架_Java图片处理开源框架
  5. sms 2003 Service Pack 3 Open Beta
  6. 计算机组成原理中CPI、MIPS、CPU执行时间、主频等计算
  7. zblog php robots,怎么写ZBlogPHP网站的robots.txt
  8. 苏强SN系列服务器说明书,SN2000交流伺服驱动器使用手册.pdf
  9. 计算机系统的cpu数量,设置cpu核心数量方法,电脑降低cpu处理器数量和内存大小图文教程...
  10. 金融信贷存量客户运营管理
  11. 【HTTP Live Streaming】(一)苹果公司 - 流媒体传输技术 - 概览
  12. 文件上传绕过姿势整理
  13. win10系统wifi能连上但不能上网怎么办
  14. kaggle员工离职预测——SVC
  15. Photoshop脚本开发环境
  16. 推荐系统案例-网飞电影推荐系统-Netflix Recommender system
  17. Web全栈开发学习笔记—Part2 与服务端通信—d.在服务端将数据Alert出来
  18. 6种方式创建多层索引MultiIndex
  19. 如何使用Python进行图形化编程
  20. AutoLISP 学习 (一)

热门文章

  1. win10家庭版可以用c语言,手把手教你通过bat批处理开启win10家庭版组策略的图文教程-系统操作与应用 -亦是美网络...
  2. <![CDATA[ ]]>的简单使用
  3. 2023年7月14日~15日
  4. java localstorage_localStorage使用总结
  5. gnu grub修复_修复grub文件的几个方法
  6. 图形化的 Nginx 配置管理工具:NginxWebUI
  7. 深入解析WPF编程(奋斗的小鸟)_PDF 电子书
  8. 修改注册表实现禁用/启用USB
  9. lucene-使用lius解析word、excel
  10. 2021会考高考成绩查询考6,2020会考成绩查询网站入口 学业水评考试成绩查询方法...