TryHackMe-Carnage
Carnage
花了两天学了下wireshark
顺便看一下现在我的红队进程
由于ad在进攻性渗透测试当中已经早早收入囊中,这让我在红队进度中变快
现在,红队路径剩下的room应该都算是在整个path当中比较有难度的了,我不经意的查看了剩下的部分room,我想这需要比以往更多的时间和精力去学习它
在此之前,我需要巩固过去的知识,顺便完成最近的比赛
Bartell Ltd 采购部门的 Eric Fischer 收到了一封来自已知联系人的电子邮件,其中包含 Word 文档附件。打开文档后,他不小心点击了“启用内容”。SOC 部门立即收到端点代理的警报,指出 Eric 的工作站正在出站建立可疑连接。从网络传感器中检索 pcap 并交给您进行分析。
任务:调查数据包捕获并发现恶意活动。
与恶意 IP 的第一次 HTTP 连接的日期和时间是什么?
调整显示时间的格式
显示过滤器过滤http即可获得答案
下载的 zip 文件的名称是什么?&& 从中下载 zip 文件的恶意 IP 的网络服务器的名称是什么?
http.request.uri contains ".zip"
如果不下载文件,zip 文件中的文件名称是什么?
选定上个任务中的流量,导出对象 -> HTTP,将第一条documents.zip保存到本地
打开文件即可获得答案
从中下载 zip 文件的恶意 IP 的网络服务器的名称是什么?&& 上一个问题的网络服务器版本是什么?
查找服务器发送的http包
ip.src == 85.187.128.24 && http
恶意文件从多个域下载到受害主机。这项活动涉及的三个域是什么?
根据题目提示,在指定时间范围内
查找tls客户端请求类型的数据包
frame.time >= "Sep 24, 2021 16:45:11" && frame.time <= "Sep 24, 2021 16:45:30" && tls.handshake.type == 1
哪个证书颁发机构向上一个问题中的第一个域颁发了SSL证书?
跟到那个数据包的位置,在查找certificate类型的数据包,就能找到答案
Cobalt Strike服务器的两个IP地址是什么?使用 VirusTotal(“社区”选项卡)确认 IP 是否被标识为 Cobalt Strike C2 服务器
根据题目要求,使用 VirusTotal 进行恶意分析
首先将会话统计,我觉得c2通信的通信量应该不会少,所以将数据量降序排列,丢到VirusTotal进行分析
上一个问题中第一个CS服务器 IP 地址的主机标头是什么?
ip.dst == 185.106.96.158 && http
Cobalt Strike服务器的第一个IP地址的域名是什么?
第二个CS服务器IP的域名是什么?
有两个,旧的是答案,最新的域名可能出在房间建立之后
受害主机发送到感染后流量中涉及的恶意域的前 11 个字符是什么?
发送到 C2 服务器的第一个数据包的长度是多少?
上一个问题中恶意域的服务器标头是什么?
跟过去找到响应头
该恶意软件使用 API 来检查受害者机器的 IP 地址。对 IP 检查域进行 DNS 查询的日期和时间是什么? && 上一个问题的 DNS 查询中的域是什么?
dns.qry.name contains "api"
看起来有一些恶意垃圾邮件(恶意垃圾邮件)活动正在进行。在流量中观察到的第一个邮件发件人地址是什么?
lower(smtp.req.parameter) contains "from"
观察到 SMTP 通信有多少个数据包?
TryHackMe-Carnage相关推荐
- TryHackMe学习笔记-Windows PrivEsc Arena
文章目录 Task 1 Connecting to TryHackMe network Task 2 Deploy the vulnerable machine Task 3 Registry Esc ...
- tryhackme圣诞挑战2021-Advent of Cyber 3-day2-越权漏洞,修改cookie
文章目录 背景 开始学习! HTTPS GET Cookies cookie的组成成分 操纵cookie 答题 背景 McSkidy需要检查其他员工是否被入侵了,但是员工的信息被黑了,你能修补回来然后 ...
- TryHackMe学习笔记-The Cod Caper
文章目录 概述 端口扫描 80端口漏洞利用 Web页面访问 目录扫描 SQL注入 命令执行 - 初始立足点 敏感文件查找 LinEnum 提权 gdb 利用pwntools溢出 hashcat破解ha ...
- TryHackMe | Blue Writeup (超干货详细msf渗透使用指南)
文章目录 前期准备 Task1 Recon scan the mechine How many ports are open with a port number under 1000? What i ...
- TryHackMe新手村
注册是需要谷歌的,需要特殊上网手段. TryHackMe 最近在外网发现了一个在线黑客学习网站:TryHackMe ,缺点是好像需要一些上网技巧,而且全英,免费用户每天只能用一小时,付费(大概一个月6 ...
- SQL注入(基于 tryhackme 的讲解)
一.什么是SQL注入 SQL注入攻击(SQL Injection),简称注入攻击.SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞.在设计程序时,忽略了对输入字符串中夹 ...
- 【Tryhackme】Hacker of the Hill #1
免责声明 本文渗透的主机经过合法授权.本文使用的工具和方法仅限学习交流使用,请不要将文中使用的工具和渗透思路用于任何非法用途,对此产生的一切后果,本人不承担任何责任,也不对造成的任何误用或损害负责. ...
- Tryhackme blue
前提 openvpn连入内网: 下载配置文件,链接内网后启动靶机 任务1 主机扫描 command:nmap -sV -vv --script vuln 10.10.78.216 任务2 启动msf ...
- Tryhackme -Skynet(考点:smb 密码爆破 cuppa RFI cronjob - tar提权)
1 扫描 忘了截图了,就是445 smb和80http 重要,一个进去找敏感文件,另一个进去搜集信息. 2 web信息搜集 gobuster扫gobuster dir -u http://10.10. ...
- TryHackMe - Dav靶场
Dav boot2root machine for FIT and bsides guatemala CTF 0x01 信息收集 常规Nmap扫描目标机器收集端口开放服务信息,只开放了一个端口 0x0 ...
最新文章
- 鼠标控制,扇形的大小
- 【WebRTC---入门篇】(十三)WebRTC音视频数据采集
- scipy.stats
- java图片框架_Java图片处理开源框架
- sms 2003 Service Pack 3 Open Beta
- 计算机组成原理中CPI、MIPS、CPU执行时间、主频等计算
- zblog php robots,怎么写ZBlogPHP网站的robots.txt
- 苏强SN系列服务器说明书,SN2000交流伺服驱动器使用手册.pdf
- 计算机系统的cpu数量,设置cpu核心数量方法,电脑降低cpu处理器数量和内存大小图文教程...
- 金融信贷存量客户运营管理
- 【HTTP Live Streaming】(一)苹果公司 - 流媒体传输技术 - 概览
- 文件上传绕过姿势整理
- win10系统wifi能连上但不能上网怎么办
- kaggle员工离职预测——SVC
- Photoshop脚本开发环境
- 推荐系统案例-网飞电影推荐系统-Netflix Recommender system
- Web全栈开发学习笔记—Part2 与服务端通信—d.在服务端将数据Alert出来
- 6种方式创建多层索引MultiIndex
- 如何使用Python进行图形化编程
- AutoLISP 学习 (一)
热门文章
- win10家庭版可以用c语言,手把手教你通过bat批处理开启win10家庭版组策略的图文教程-系统操作与应用
-亦是美网络...
- <![CDATA[ ]]>的简单使用
- 2023年7月14日~15日
- java localstorage_localStorage使用总结
- gnu grub修复_修复grub文件的几个方法
- 图形化的 Nginx 配置管理工具:NginxWebUI
- 深入解析WPF编程(奋斗的小鸟)_PDF 电子书
- 修改注册表实现禁用/启用USB
- lucene-使用lius解析word、excel
- 2021会考高考成绩查询考6,2020会考成绩查询网站入口 学业水评考试成绩查询方法...