我的编程空间,编程开发者的网络收藏夹
学习永远不晚

中职流量包分析attack/capture(1)

短信预约 -IT技能 免费直播动态提醒
省份

北京

  • 北京
  • 上海
  • 天津
  • 重庆
  • 河北
  • 山东
  • 辽宁
  • 黑龙江
  • 吉林
  • 甘肃
  • 青海
  • 河南
  • 江苏
  • 湖北
  • 湖南
  • 江西
  • 浙江
  • 广东
  • 云南
  • 福建
  • 海南
  • 山西
  • 四川
  • 陕西
  • 贵州
  • 安徽
  • 广西
  • 内蒙
  • 西藏
  • 新疆
  • 宁夏
  • 兵团
手机号立即预约

请填写图片验证码后获取短信验证码

看不清楚,换张图片

免费获取短信验证码

中职流量包分析attack/capture(1)

我希望网络安全的世界大家可以贡献自己的一部分,而不是拿来自私自利
作者拿到的流量包和题目是有出入的,但是因为出的题大同小异所以能分析出来

attack

1. 分 析 attack.pcapng 数 据 包 文 件 ,通 过 分 析数据 包
attack.pcapng 找出恶意用户第一次访问 HTTP 服务的数据 包是第
几号,将该号数作为 Flag 值提交;

请添加图片描述

直接过滤http流,no排列一下就能发现
一个打了sql xss cmdshell读密码,用sqlmap跑的payload

2.继续查看数据包文件 attack.pcapng,分析出恶意用户扫描
了哪些端口,将全部的端口号从小到大作为 Flag 值(形式:端口
1,端口 2,端口 3…,端口 n) 提交;

请添加图片描述用tcp.connection.syn就能看到
扫描端口是tcp协议,tcp.connection.syn是过滤出tcp握手的流量

3.继续查看数据包文件 attack.pcapng 分析出恶意用户登录
后 台所用的密码是什么,将后台密码作为 Flag 值提交

在这里插入图片描述
过滤出http流
找到login.php
POST /fittingroom/login.php
username=Lancelot&password=12369874&submit=Login
用户名密码都有了

4.继续查看数据包文件 attack.pcapng 分析出恶意用户写入
的 一句话木马的密码是什么, 将一句话密码作为 Flag 值提交

在这里插入图片描述过滤http流,找到登录后传的Q.php
请添加图片描述
然后看到base的木马

@ini_set(“display_errors”,“0”);@set_time_limit(0);@set_magic_quotes_runtime(0);echo(“->|”);; D = d i r n a m e ( D=dirname( D=dirname(_SERVER[“SCRIPT_FILENAME”]);if( D = = " " ) D=="") D=="")D=dirname($_SERVER["PA
解密后
这串的意思是

    @ini_set(“display_errors”,0);临时关闭PHP的错误显示功能    @set_time_limit(0);防止像dir、上传文件大马时超时    @set_magic_quotes_runtime(0);关闭魔术引号,这东西在4.0以后就不怎么用了    echo("->|");没啥好说的    print(“hello PHP!);输出字符串    die();人如其名

中国菜刀原理

5.继续查看数据包文件 attack.pcapng 分析出恶意用户下载
了 什么文件,将该文件内容作为 Flag 值提交

投机取巧的方法
如果分析出或者题目给出用户下载了什么文件,用分离软件一定能分离出来,因为下载的16进制会存在流量包里
请添加图片描述
请添加图片描述

capture

1. 使用 Wireshark 查看并分析 capture.pcapng 数据包文件,telnet 服务器是一台路由器,找出此台路由器的特权密码,并将密码作为 flag值提交
在这里插入图片描述直接搜索password
即可发现密码

2.使用 Wireshark 查看并分析 capture.pcapng 数据包文件,FTP 服务器已经传输文件结束,将建立 FTP 服务器的数据连接的次数作为 flag值提交
ftp.response.code过滤出ftp协议流量
可以看到
在这里插入图片描述
3. 使用Wireshark 查看并分析capture.pcapng 数据包文件,web 服务器地址是192.168.181.250,将web 服务器软件的版本号作为 flag 值提交。

在这里插入图片描述过滤http
找到200OK的
因为流量包有问题找不到题的ip,但是方法通用
Apache/2.4.3 (Win32) OpenSSL/1.0.1c PHP/5.4.7

4. 使用Wireshark 查看并分析apture.pcapng 数据包文件,这些数据中
有非常多的 ICMP 报文,这些报文中有大量的非正常 ICMP 报文,找
出类型为重定向的所有报文,将报文重定向的数量作为 flag 值提交

icmp过滤出icmp协议
在这里插入图片描述
然后
icmp.type == 8过滤ping
icmp.type == 3过滤重定向
在这里插入图片描述
5. 使用 Wireshark 查看并分析 capture.pcapng 数据包文件,这些数据中有 ssh 报文,由于 ssh 有加密功能,现需要将这些加密报文的算法分析出来,将 ssh 服务器支持的第一个算法的密钥长度作为flag 值提
交。

在这里插入图片描述
直接过滤ssh找到ase加密

来源地址:https://blog.csdn.net/weixin_47099592/article/details/127683644

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

中职流量包分析attack/capture(1)

下载Word文档到电脑,方便收藏和打印~

下载Word文档

编程热搜

  • Python 学习之路 - Python
    一、安装Python34Windows在Python官网(https://www.python.org/downloads/)下载安装包并安装。Python的默认安装路径是:C:\Python34配置环境变量:【右键计算机】--》【属性】-
    Python 学习之路 - Python
  • chatgpt的中文全称是什么
    chatgpt的中文全称是生成型预训练变换模型。ChatGPT是什么ChatGPT是美国人工智能研究实验室OpenAI开发的一种全新聊天机器人模型,它能够通过学习和理解人类的语言来进行对话,还能根据聊天的上下文进行互动,并协助人类完成一系列
    chatgpt的中文全称是什么
  • C/C++中extern函数使用详解
  • C/C++可变参数的使用
    可变参数的使用方法远远不止以下几种,不过在C,C++中使用可变参数时要小心,在使用printf()等函数时传入的参数个数一定不能比前面的格式化字符串中的’%’符号个数少,否则会产生访问越界,运气不好的话还会导致程序崩溃
    C/C++可变参数的使用
  • css样式文件该放在哪里
  • php中数组下标必须是连续的吗
  • Python 3 教程
    Python 3 教程 Python 的 3.0 版本,常被称为 Python 3000,或简称 Py3k。相对于 Python 的早期版本,这是一个较大的升级。为了不带入过多的累赘,Python 3.0 在设计的时候没有考虑向下兼容。 Python
    Python 3 教程
  • Python pip包管理
    一、前言    在Python中, 安装第三方模块是通过 setuptools 这个工具完成的。 Python有两个封装了 setuptools的包管理工具: easy_install  和  pip , 目前官方推荐使用 pip。    
    Python pip包管理
  • ubuntu如何重新编译内核
  • 改善Java代码之慎用java动态编译

目录