网络空间安全市赛Misc一道简单的流量分析题

这篇具有很好参考价值的文章主要介绍了网络空间安全市赛Misc一道简单的流量分析题。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

这道题给了一个流量包,内部分了7个小题

题目介绍:


1、使用Wireshark查看并分析服务器桌面下的attack.pcapng数据包文件,通过分析数据包attack.pcapng找出黑客的IP地址,并将黑客的IP地址作为FLAG(形式:[IP地址])提交

2、继续查看数据包文件attack.pacapng,分析出黑客扫描了哪些端口,并将全部的端口作为FLAG(形式:[端口名1,端口名2,端口名3…,端口名n])从低到高提交;

3、继续查看数据包文件attack.pacapng分析出黑客最终获得的用户名是什么,并将用户名作为FLAG(形式:[用户名])提交;

4、继续查看数据包文件attack.pacapng分析出黑客最终获得的密码是什么,并将密码作为FLAG(形式:[密码])提交;

5、继续查看数据包文件attack.pacapng分析出黑客连接一句话木马的密码是什么,并将一句话密码作为FLAG(形式:[一句话密码])提交;

6、继续查看数据包文件attack.pacapng分析出黑客下载了什么文件,并将文件名及后缀作为FLAG(形式:[文件名.后缀名])提交;

7、继续查看数据包文件attack.pacapng提取出黑客下载的文件,并将文件里面的内容为FLAG(形式:[文件内容])提交。


1:首先可以在导出HTTP中查看攻击流量
网络空间安全市赛Misc一道简单的流量分析题网络空间安全市赛Misc一道简单的流量分析题

第一题的flag答案便是: [172.16.1.101]

2、查端口,我们找到黑客ip后便过滤ip,输入ip.addr==172.16.1.102
网络空间安全市赛Misc一道简单的流量分析题
往下分析你会发现很集中的有端口扫描现象,黑客是通过37113来扫描的,你只需要看这些便可,便能得到flag,所以第二题flag为[21,23,80,445,3389,5007]

网络空间安全市赛Misc一道简单的流量分析题

3/4两题、要分析出黑客最终获得的用户名就得找到黑客什么时候登录的,攻击点在哪里,那就用同样的方法,导出http处查看,发现有登录login请求,点击它便会自动跳转到那条流量,关闭导出框,对3747这条流量进行TCP追踪,这样便看到了用户名和密码,
第三题flag便是 [Lancelot]
第四题flag便是 [12369874]

网络空间安全市赛Misc一道简单的流量分析题
网络空间安全市赛Misc一道简单的流量分析题

5、第五题要找木马密码,同样的思路,跟第3、4题思路一样,找导出http看木马可能会在upload上传点,果然可以看到有个upload.php

网络空间安全市赛Misc一道简单的流量分析题

一样的道理,追踪TCP流得到木马密码,flag便是 [alpha]

网络空间安全市赛Misc一道简单的流量分析题

6、取出黑客下载的文件名字以及后缀,跟前面一样找攻击点,但是这次在导出并没有分析出有用的东西,这边我的方法有些另类,因为这种题肯定是按照流程出的,所以后面的flag必定在前面的基础之上的,所以我依旧追踪http看upload并对他进行TCP流追踪,然后关闭追踪选项,在上面过滤处tcp.stream eq 1205 往后进行过滤并且进行大致的TCP追踪(就只看第一条或后面几条流量),发现tcp.stream eq 1207有猫腻,看到flag.zip估计是答案了,便得到flag为[flag.zip]

网络空间安全市赛Misc一道简单的流量分析题
(其实还有一种做法就是搜索flag,分组字节流搜flag刚好会显示那条流量也是跟上面追踪TCP得到的结果一样)

网络空间安全市赛Misc一道简单的流量分析题

7、最后一题提取出黑客下载的文件(这边思路弯了),并将文件里面的内容为FLAG,这题有问题跟第6题思路一样,换过滤号,往后面分析 tcp.stream eq 1208 并且对第一条进行TCP流追踪,发现zip格式的ascii,将其提取放入hex保存

网络空间安全市赛Misc一道简单的流量分析题

得到的ascii:

PK…aIM…>…flag.txtK.IL…M…K-*V.M.N-…Ry…PK…?.. …aIM…>…$… …flag.txt
. …&C.…y]&C.…,._…PK…Z…>…

网络空间安全市赛Misc一道简单的流量分析题

其实很明显zip开头是504B0304这显然有问题,压缩包恢复不了,直接凉凉,到这里发现是思路问题
将其放入kali中进行分离流量包,binwalk -e分离可得

网络空间安全市赛Misc一道简单的流量分析题

其中打开第一个压缩包(存在伪加密,直接用360压缩打开)便是flag.txt一样的文件
flag{Manners maketh man}文章来源地址https://www.toymoban.com/news/detail-492444.html

到了这里,关于网络空间安全市赛Misc一道简单的流量分析题的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • wireshark流量分析网络安全

    目录  前言: 题目1: 题目2: 题目3: 题目4: 题目5: 题目6: 题目7: 题目8: 这是关于一篇wireshark分析数据包的文章,主要是网络安全里的应用,讲述了wireshark的使用方法,主要使用的事wrieshark里的追踪流,欢迎大家学习借鉴!  从靶机服务器的FTP上下载wireshark0051.pcap数

    2024年02月11日
    浏览(39)
  • Elasticsearch的网络流量分析案例

    Elasticsearch是一个分布式、实时的搜索和分析引擎,它可以处理大量数据并提供快速、准确的搜索结果。在现实生活中,Elasticsearch广泛应用于日志分析、实时监控、搜索引擎等领域。本文将介绍Elasticsearch的网络流量分析案例,涉及到的核心概念、算法原理、最佳实践以及实际

    2024年02月21日
    浏览(50)
  • wireshark网络安全流量分析基础

    网络安全流量分析领域中,wireshark和csnas是取证、安全分析的好工具,包括很多研究安全规则、APT及木马流量特征的小伙伴,也会常用到两个工具。这两款流量嗅探、分析软件,今天先介绍wireshark作为安全分析工具的基本使用。  Wireshark对pcap包分析过程中常用的功能基本上包

    2024年02月12日
    浏览(41)
  • 网络流量安全分析-工作组异常

    在网络中,工作组异常分析具有重要意义。以下是网络中工作组异常分析的几个关键点: Ø 检测网络攻击:网络中的工作组异常可能是由恶意活动引起的,如网络攻击、病毒感染、黑客入侵等。通过对工作组异常的监控和分析,可以快速检测到这些网络攻击,并采取相应的防

    2024年02月03日
    浏览(44)
  • 如何使用Wireshark进行网络流量分析?

    如何使用Wireshark进行网络流量分析。Wireshark是一款强大的网络协议分析工具,可以帮助我们深入了解网络通信和数据流动。 1. 什么是Wireshark? Wireshark是一个开源的网络协议分析工具,它可以捕获并分析网络数据包,帮助用户深入了解网络通信过程,识别潜在的问题和安全威

    2024年02月11日
    浏览(39)
  • 流影---开源网络流量可视化分析平台(一)

    流影: 官网:https://abyssalfish-os.github.io/ 国内首个开源网络流量可视化分析平台 专注于网络行为分析识别和威胁行为追溯挖掘 提供轻量级网络行为可视化分析与安全态势感知综合解决方案 适用于入侵检测、攻防演练、威胁狩猎、网络安全态势感知等应用场景 看见网络通讯、

    2024年02月08日
    浏览(35)
  • 网络流量可视化分析平台-流影-FlowShadow

    专注于网络行为分析识别和威胁行为追溯挖掘 提供轻量级网络行为可视化分析与安全态势感知综合解决方案 适用于入侵检测、攻防演练、威胁狩猎、网络安全态势感知等应用场景 看清网络通讯、看见网络行为、看懂网络威胁,守护每一位用户数字化安全发展之路 国内首个开

    2024年02月16日
    浏览(36)
  • Linux下C/C++实现(网络流量分析-NTA)

    网络流量分析(NTA - Network Traffic Analysis) 就是捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量、分析、统计等,协助发现网络运行过程中出现的问题。通过监控和分析网络环境中的流量,来判断流量是用在哪个系统或者哪个应用,并对流量做相应

    2024年02月08日
    浏览(33)
  • Linux C/C++ 分析网络流量(十六进制TCP数据包分析)

    在分析TCP数据包时,理解TCP协议的工作原理和报文格式是关键。TCP是一种面向连接的、提供可靠的、端到端的字节流传输服务。其头部结构包括源端口、目标端口、序列号、确认应答号等字段。序列号是在建立连接时由计算机生成的随机数作为初始值,每发送一次数据,就累

    2024年02月03日
    浏览(39)
  • 国科大网络协议安全大作业——分析流量并使用Snort规则进行检测

    SHA256(Secure Hash Algorithm 256-bit)是一种密码学哈希函数,用于计算数据的哈希值。每个文件使用一个哈希算法只会有一个确定的哈希值。 被感染主机设置为ubuntu22.04,虚拟机IP地址为192.168.88.142 原因:避免wireshark奇怪报错  2.2.1在终端执行 file命令查看文件类型 2.2.2计算该文件

    2024年02月04日
    浏览(51)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包