数证杯2024-网络流量分析

数证杯2024-网络流量分析

学习：2024数证杯初赛 - WXjzc - 博客园
1. [填空题]分析网络流量包检材，写出抓取该流量包时所花费的秒数？（填写数字，答案格式：10） (2分)

思绪：

1. 统计 --> 捕获文件属性

复制代码

​

​
答案：3504
2. [填空题]分析网络流量包检材，抓取该流量包时利用计算机利用系统的build版本是多少？（答案格式：10D32） (2分)

思绪：

1. 跟第一问一样

复制代码

​

​
答案：23F79
3. [填空题]分析网络流量包检材，受害者的IP地址是？（答案格式：192.168.1.1） (2分)

思绪：

1. 统计 --> 会话 --> ipv4，发现 192.168.75.131 可疑，分析一下这个 ip 的流量包，也能发现

复制代码

​

​
答案：192.168.75.131
4. [填空题]分析网络流量包检材，受害者所利用的利用系统是？（小写字母，答案格式：biwu） (2分)

思绪：

1. 过滤 http 流，翻一下流量包就能发现

复制代码

​

​
答案：ubuntu
5. [填空题]分析网络流量包检材，攻击者利用的端口扫描工具是？（小写字母，答案格式：abc） (2分)

思绪：

1. 跟上面一样过滤 http 流量，翻一下前面的流量，就能发现 nmap

复制代码

​

​
答案：nmap
6. [填空题]分析网络流量包检材，攻击者利用的毛病检测工具的版本号是？（答案格式：1.1.1） (2分)

思绪：

1. 过滤 http 流量分析后面的流量包能发现使用了 Wfuzz，Wfuzz能够通过发现并利用网站弱点/漏洞的方式，然后就能确定版本号

复制代码

​

​
​

​
答案：3.1.0
‍
7. [填空题]分析网络流量包检材，攻击者通过目录扫描得到的 phpliteadmin 登录点是？（答案格式：/abc/abc.php） (2分)

思绪：

1. 一般的登入方式都是 POST，那我们过滤一下就好，然后追踪一下流，就能发现登入成功

复制代码

1. http.request.method == POST

复制代码

​

​
​

​
答案：/dbadmin/test_db.php
8. [填空题]分析网络流量包检材，攻击者成功登录到 phpliteadmin 时利用的密码是？（答案格式：按实际值填写） (2分)

思绪：

1. 我们知道登入的 url 为 /dbadmin/test_db.php，那我们先过滤一下

复制代码

1. http.request.uri.path == "/dbadmin/test_db.php"

复制代码

​

​

1. 然后网上翻一下流量包发现

复制代码

​

​
答案：admin
9. [填空题]分析网络流量包检材，攻击者创建的 phpinfo 页面文件名是？（答案格式：abc.txt） (4分)

思绪：

1. 在第8 题过滤时候，就能翻到一个 demo.php ，直接在导出 http 对象，将后缀改成 .html 就能发现是一个 phpinfo

复制代码

​

​
​

​

1. 直接搜索也能发现 phpinfo()

复制代码

​

​
​

​
答案：demo.php
10. [填空题]分析网络流量包检材，攻击者利用服务器毛病从攻击机上下载的 payload 文件名是？（答案格式：abc.txt） (4分)

思绪：

1. 我们一直往下分析可以看到 wget 下载了一个 rev.txt

复制代码

​

​
答案：rev.txt
11. [填空题]分析网络流量包检材，攻击者反弹shell的地址及端口是？（答案格式：192.168.1.1:1234） (4分)

思绪：

1. 我们上面找到了 rev.txt，然后搜索一下找到文件，可以发现是一个 webshell

复制代码

​

​

1. [/code][code]在get访问 rev.txt 的时候，从攻击者电脑访问的，就能在返回包发现到

复制代码

​

​

1. 我们知道 webshell 的端口是 30127，那我们过滤一下

复制代码

​

​
答案：57638
‍
php 脚本
[code][/code]
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。