网络安全——流量分析
一、题目背景
某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题
二、关卡列表
1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器
2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)
3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)
4 某公司内网网络被黑客渗透,请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码
5 某公司内网网络被黑客渗透,请分析流量,黑客在robots.txt中找到的flag是什么
6 某公司内网网络被黑客渗透,请分析流量,黑客找到的数据库密码是多少
7 某公司内网网络被黑客渗透,请分析流量,黑客在数据库中找到的hash_code是什么
8 某公司内网网络被黑客渗透,请分析流量,黑客破解了账号ijnu@test.com得到的密码是什么
9 某公司内网网络被黑客渗透,请分析流量,被黑客攻击的web服务器,网卡配置是是什么,提交网卡内网ip
10 某公司内网网络被黑客渗透,请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)
11某公司内网网络被黑客渗透,请分析流量,黑客获得的vpn的ip是多少
三、解题过程
1.黑客使用的扫描器
广泛使用的扫描器:awvs appscan nessus
这是awvs的图标
打开webone.pcap数据包,查找是否有相关awvs协议特征
http contains acunetix
说明是使用awvs进行扫描的
2.黑客扫描到的登陆后台
后台登录基本都是使用POST方法
http.request.method=="POST"
找到数据,使用右键追踪TCP数据流
发现有302重定向,就是登陆成功了
说明是使用post方法登陆后台的,同时得到了黑客的IP地址为192.168.94.59
3.黑客登录使用的账号密码
设置账号密码切勿和关键字–root admin等、个人信息相关!!!密码长度最好大于10位
发现有login.php?rec=login
http.request.method=="POST" and ip.src==192.168.94.59 and http contains "rec=login"
查看最后黑客登录成功后的数据包或者查看length长度值跨度较大的数据包分析,双击之后打开html信息
得到黑客使用的账号和密码信息
4.webshell文件名和内容
一句话木马的格式 <?php @eval($_POST['pass']); ?>
@符号是为了防止后边的语句报错
翻阅数据包发现存在a.php文件,但在image目录下有些奇怪,使用php文件的关键字eval
就得到了文件名,发现1234为传递值
盲猜可能是一句话木马,但是用http并没有发现数据,考虑到是tcp重传的原因,故将http换为tcp之后再过滤一遍
http contains "<?php @eval"
tcp contains "<?php @eval"
http.request.method=="POST" and ip.src==192.168.94.59 and tcp contains "eval"
追踪一下tcp流
使用base64解码得到相应的内容和路径(z1=后边)
5.robots.txt中的flag
robots主要是防止百度蜘蛛的爬取,不想让百度蜘蛛抓取到我的后台
robots可以查看网站的类型,开源或者闭源,近期有无漏洞出现
robots是一个文件,需要直接导出http对象,在文本过滤器中选择robots.txt,将文件保存下来,即可获得flag
6.数据库密码
直接过滤数据包,如果数据包登陆成功,则http的响应值为200,并且一般会包含database
http.response.code==200 and http contains "database"
$dbpass后边的数据即为数据库密码
7.hash_code
打开webtwo流量包
得到数据库的主机是10.3.3.101
ip.src==10.3.3.101 and tcp contains "hash_code"
使用追踪TCP数据流,得到hash_code
8.黑客破解了账号ijnu@test.com得到的密码是什么
在webtwo流量包中,使用分组详情,查到密码
tcp contains "ijnu@test.com"
或者直接使用上边的语法进行过滤
再使用md5进行解密
9.被黑客攻击的web服务器,网卡配置是什么,提交网卡内网ip
打开webone流量包,网卡的配置一般都为eth0或者ens33
tcp contains "eth0"
追踪一下tcp流
得到网卡内网的配置 内网IP为10.3.3.100
10.黑客使用了什么账号登陆了mail系统
需要综合来看mailtwo.pcap和mailtwo1.pcap两个数据包
先查询下mailtwo.pcap这个数据包,关键字mail或者email
http.request.method==POST && http contains "mail"
先随便找了个密码,得到加密方式为AES,登录用户名为wenwenni
但需要找到加密的密钥,找一个状态码为200的追踪TCP流
http.response.code==200
这是AES的CBC加密,填充格式为ZeroPadding,密钥为字符串1234567812345678的hash值,iv偏移量为1234567812345678
同样42号数据显示登录用户名为wenwenni
44号数据显示{“success”:true},代表登陆成功
(http contains "{\"success\":true}" or http.request.method=="POST") and ip.addr==192.168.94.59
发现都是在爆破,最后也没有出现成功的
查看第二个流量包mailtwo1
从后往前看,18152是登陆成功的返回结果,对应的17126则应该就是正确的加密后的密码
1234567812345678 必须经过md5加密后才可以使用的key
d959caadac9b13dcb3e609440135cf54
再使用aes解密工具
获得最终的账号密码
admin
admin!@#PASS123
11.黑客获得的vpn的ip是多少
打开vpnone流量包,统计端点
发现大部分为外网地址,看vpntwo
流量大的地址,即为黑客获得的vpn地址10.3.4.3
流量包在这里
链接:https://pan.baidu.com/s/16b6zjzNzcOoRHRyAY3iwkQ?pwd=e9jh
提取码:e9jh
网络安全——流量分析相关推荐
- 网络安全模型_基于数据驱动的网络安全流量分析总结
导读 网络和社交流量分析是检测和防御网络攻击的基础.随着数据集的日益剧增,手工定义规则的传统方法逐渐被机器学习(ML)方法替代,这是因为ML有更好的工作性能.在数据驱动的研究背景下,通过研究社交流量和 ...
- 企业为什么需要网络流量分析
摩卡网络流量分析(Mocha Network Traffic Analyzer)是一个综合网络分析系统,它通过捕获并分析网络中传输的数据包,有效反映网络通讯状况,帮助网络管理人员或非网络管理人员快速准 ...
- 网络管理员在预先分配和识别作为_14个网络管理员必备的最佳网络流量分析工具,收藏了...
企业网络每天都会产生大量数据.企业可以分析这些数据,以深入了解网络运行情况或发现安全威胁.网络流量分析(NTA)解决方案允许网络管理员收集流经网络的流量数据.这些工具通常用于识别性能问题和/或发现安全 ...
- CTF——MISC——流量分析
目录 一.流量包修复 二.协议分析 三.数据提取 例题: 1,题目:Cephalopod(图片提取) 2,题目:特殊后门(icmp协议信息传输) 3,题目:手机热点(蓝牙传输协议obex,数据提取) ...
- 网络管理员在预先分配和识别作为_网络管理员必备流量分析工具,果断转发收藏!...
企业网络每天都会产生大量数据.企业可以分析这些数据,以深入了解网络运行情况或发现安全威胁.网络流量分析(NTA)解决方案允许网络管理员收集流经网络的流量数据.这些工具通常用于识别性能问题和/或发现安全 ...
- 流量分析的瑞士军刀:Zeek
介绍 Zeek (Bro) 是一款大名鼎鼎的开源网络安全分析工具.通过 Zeek 可以监测网络流量中的可疑活动,通过 Zeek 的脚本可以实现灵活的分析功能,可是实现多种协议的开相机用的分析.本文主要 ...
- 多源异构网络安全关联分析
(1)主机日志数据 多源异构网络安全数据主要包括主机日志数据.网络流量数据.安全告警数据.威胁情报数据等主机日志数据是指发生在主机运行过程中的各类审计日志记录,其中各个日志条目是对主机运行状况的监测结 ...
- IOTA--最便捷的网络流量分析工具
IOTA–最便捷的网络流量分析工具 近年来5G技术迅速的发展,整个我们整个的网络环境将迎来巨大变革,其中网络流量和宽带的剧增是其中的重要变革.这样的变化虽然给我们的工作和生活带来诸多便利,但是也带来了 ...
- 开源 | 爱奇艺网络流量分析引擎QNSM及其应用
▌导读 一定业务规模的互联网公司的基础设施的网络边界通常都呈现一定程度的复杂多分区的情况,如何进行有效的安全防护和控制会成为安全体系建设的重点和难点.面对这一挑战,爱奇艺安全团队自研了网络流量分析引擎 ...
- [2021绿城杯] [Misc] 流量分析 + cobaltstrike 流量解密
[2021绿城杯] [Misc] 流量分析 + cobaltstrike 流量解密 2021年"绿城杯"网络安全大赛-Misc-流量分析 [2021绿城杯] [Misc] 流量分析 ...
最新文章
- python 用户认证_Python使用LDAP做用户认证的方法
- Idea中启动tomcat服务,提示缺少一个tcnative-1.dll文件
- java comet demo,[转]comet4j的简单应用
- Android中获取手机电量信息
- Silverlight中如何自己写方法将DataTable转换为PagedCollectionView数据(动态创建类)
- centos7下引导win7
- Vm下安装centos7.0时电脑进入黑屏的解决方法(选择Install Centos 7或者是Test this media install Centos 7以后,虚拟机屏幕立马就进入黑屏状态)
- html onblur 函数执行了2次,JavaScript“onblur事件”调用函数失效 原因与解决方法
- VmBox硬盘容量调整
- XenCenter导出虚拟机
- 密码字典生成工具—Crunch的使用
- Web版的各种聊天工具
- 北理工团队在不同注意力状态下肢体运动意图的鲁棒神经解码方面取得重要研究进展...
- 微信小程序开发之路④
- opencv | A02 播放本地视频 调用摄像头
- OpenHarmony恢复启动子系统init进程之服务管理与发布
- 有没有人知道我这个怎么弄?
- oracle dbms是什么意思,oracle的dbms_stats包详细解说
- PHP 技巧 * 附近的人功能实现
- 打印Diamond钻石图案