一、题目问题
问题1:黑客的email名称
问题2:黑客向几人发送了钓鱼邮件
问题3:黑客传输的木马文件名
问题4:下载并运行了木马文件的人的email名称和ip地址,用“-”连接
问题5:黑客用于反弹shell的主机ip地址和监听端口,用“-”连接
问题6:黑客执行的命令
以上问题答案在分析中显示为绿色。
二、解题思路
黑客在源地址192.168.57.130上向192.168.57.143的三个人发送了一条邮件
追踪第1条tcp流量可以看到,邮件当前登录的用户是:_admin_
追踪第2条tcp流量可以看到,从原地址192.168.57.140已经发起登录申请,登录的用户为:guanyu@192.168.57.143
用户guanyu打开了相关邮件,跟进邮件提示,需要下载一个补丁程序:repair.exe
追踪第3条tcp流量可以看到用户zhangfei在192.168.57.139上打开了相关邮件
追踪第4条tcp流量可以看到用户liubei在192.168.57.137打开了相关邮件
第5条流量时已经有被控的指令被执行了,这里执行的是whoami命令
在该部分信息中存在着攻击者的IP、监听端口及受害者的相关信息,这里看到受害者的IP地址为192.168.57.140,所以可以确定,是账户guanyu下载并运行了病毒程序
三、题目附件
https://pan.baidu.com/s/13xNWmm4PeU02A6yonTgJuA?pwd=vale 提取码: vale