数证杯2024-网络流量分析
数证杯2024-网络流量分析学习:2024数证杯初赛 - WXjzc - 博客园
1. [填空题]分析网络流量包检材,写出抓取该流量包时所花费的秒数?(填写数字,答案格式:10) (2分)
思绪:
统计 --> 捕获文件属性https://img2024.cnblogs.com/other/3176340/202412/3176340-20241204124832700-1280735494.png
答案:3504
2. [填空题]分析网络流量包检材,抓取该流量包时利用计算机利用系统的build版本是多少?(答案格式:10D32) (2分)
思绪:
跟第一问一样https://img2024.cnblogs.com/other/3176340/202412/3176340-20241204124833601-350611794.png
答案:23F79
3. [填空题]分析网络流量包检材,受害者的IP地址是?(答案格式:192.168.1.1) (2分)
思绪:
统计 --> 会话 --> ipv4,发现 192.168.75.131 可疑,分析一下这个 ip 的流量包,也能发现https://img2024.cnblogs.com/other/3176340/202412/3176340-20241204124834261-1362668761.png
答案:192.168.75.131
4. [填空题]分析网络流量包检材,受害者所利用的利用系统是?(小写字母,答案格式:biwu) (2分)
思绪:
过滤 http 流,翻一下流量包就能发现https://img2024.cnblogs.com/other/3176340/202412/3176340-20241204124835759-923453890.png
答案:ubuntu
5. [填空题]分析网络流量包检材,攻击者利用的端口扫描工具是?(小写字母,答案格式:abc) (2分)
思绪:
跟上面一样过滤 http 流量,翻一下前面的流量,就能发现 nmaphttps://img2024.cnblogs.com/other/3176340/202412/3176340-20241204124838334-1033567590.png
答案:nmap
6. [填空题]分析网络流量包检材,攻击者利用的毛病检测工具的版本号是?(答案格式:1.1.1) (2分)
思绪:
过滤 http 流量分析后面的流量包能发现使用了 Wfuzz,Wfuzz能够通过发现并利用网站弱点/漏洞的方式,然后就能确定版本号https://img2024.cnblogs.com/other/3176340/202412/3176340-20241204124806213-635161202.png
https://img2024.cnblogs.com/other/3176340/202412/3176340-20241204124806775-1927393661.png
答案:3.1.0
7. [填空题]分析网络流量包检材,攻击者通过目录扫描得到的 phpliteadmin 登录点是?(答案格式:/abc/abc.php) (2分)
思绪:
一般的登入方式都是 POST,那我们过滤一下就好,然后追踪一下流,就能发现登入成功http.request.method == POSThttps://img2024.cnblogs.com/other/3176340/202412/3176340-20241204124807421-656281409.png
https://img2024.cnblogs.com/other/3176340/202412/3176340-20241204124809116-1300738088.png
答案:/dbadmin/test_db.php
8. [填空题]分析网络流量包检材,攻击者成功登录到 phpliteadmin 时利用的密码是?(答案格式:按实际值填写) (2分)
思绪:
我们知道登入的 url 为 /dbadmin/test_db.php,那我们先过滤一下http.request.uri.path == "/dbadmin/test_db.php"https://img2024.cnblogs.com/other/3176340/202412/3176340-20241204124816399-288013338.png
然后网上翻一下流量包发现https://img2024.cnblogs.com/other/3176340/202412/3176340-20241204124809673-686511646.png
答案:admin
9. [填空题]分析网络流量包检材,攻击者创建的 phpinfo 页面文件名是?(答案格式:abc.txt) (4分)
思绪:
在第8 题过滤时候,就能翻到一个 demo.php ,直接在导出 http 对象,将后缀改成 .html 就能发现是一个 phpinfohttps://img2024.cnblogs.com/other/3176340/202412/3176340-20241204124818840-961555914.png
https://img2024.cnblogs.com/other/3176340/202412/3176340-20241204124820213-1685221576.png
直接搜索也能发现 phpinfo() https://img2024.cnblogs.com/other/3176340/202412/3176340-20241204124821192-1714926245.png
https://img2024.cnblogs.com/other/3176340/202412/3176340-20241204124821826-1624246202.png
答案:demo.php
10. [填空题]分析网络流量包检材,攻击者利用服务器毛病从攻击机上下载的 payload 文件名是?(答案格式:abc.txt) (4分)
思绪:
我们一直往下分析可以看到 wget 下载了一个 rev.txthttps://img2024.cnblogs.com/other/3176340/202412/3176340-20241204124823509-1932365816.png
答案:rev.txt
11. [填空题]分析网络流量包检材,攻击者反弹shell的地址及端口是?(答案格式:192.168.1.1:1234) (4分)
思绪:
我们上面找到了 rev.txt,然后搜索一下找到文件,可以发现是一个 webshell https://img2024.cnblogs.com/other/3176340/202412/3176340-20241204124824082-893034158.png
在get访问 rev.txt 的时候,从攻击者电脑访问的,就能在返回包发现到https://img2024.cnblogs.com/other/3176340/202412/3176340-20241204124830680-666180282.png
我们知道 webshell 的端口是 30127,那我们过滤一下https://img2024.cnblogs.com/other/3176340/202412/3176340-20241204124831978-429379761.png
答案:57638
php 脚本
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]