🍬 博主介绍👨🎓 博主介绍:大家好,我是 hacker-routing ,很高兴认识大家~
✨主攻领域:【渗透领域】【应急响应】 【python】 【VulnHub靶场复现】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!目录
第二部分 数字取证调查
任务2: 网络数据包分析
本任务素材清单:捕获的网络数据包文件。
1.分析并提交攻击者使用FTP连接目标服务器时使用的密码
2.分析并提交攻击者登入目标服务器web系统时使用的密码
3.分析并提交攻击者传入目标系统的文件名
4.分析并提交被攻击的服务器的计算机名称
第二部分 数字取证调查
任务2: 网络数据包分析
A集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击(APT),并抓取了部分可疑流量包。请您根据捕捉到的流量包,搜寻出网络攻击线索,分解出隐藏的恶意程序,并分析恶意程序的行为。
本任务素材清单:捕获的网络数据包文件。
请按要求完成该部分的工作任务。
A集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击(APT),并抓取了部分可疑流量包。请您根据捕捉到的流量包,搜寻出网络攻击线索,分解出隐藏的恶意程序,并分析恶意程序的行为。
| 任务2: 网络数据包分析 | |
|---|---|
| 任务编号 | 任务描述 |
| 1 | 分析并提交攻击者使用FTP连接目标服务器时使用的密码 |
| 2 | 分析并提交攻击者登入目标服务器web系统时使用的密码 |
| 3 | 分析并提交攻击者传入目标系统的文件名 |
| 4 | 分析并提交被攻击的服务器的计算机名称 |
1.分析并提交攻击者使用FTP连接目标服务器时使用的密码
Root123
关键字检索:
ftp contains "PASS"
2.分析并提交攻击者登入目标服务器web系统时使用的密码
rebeyond
题目提示的是服务器web系统,所以直接检索http
检索出来的http包不多,可以挨个看
第一个包,通过判断就是攻击者利用冰蝎上传webshell,密码是利用MD5 16位加密
key="e45e329feb5d925b"
md5.........16........................rebeyond
3.分析并提交攻击者传入目标系统的文件名
shell.php
我这里是直接检索.php相关的文件
http contains ".php"
追踪流,查看http的包
这里直接锁定,攻击者上传的木马文件就是shell.php
4.分析并提交被攻击的服务器的计算机名称
WIN-935BICNFFVK
检索计算机名称,利用nbns检索
nbns
