真题解析之数据分析

• 网络环境

aaa.PNG

• 黑客攻击流程

  1. 攻入server0，拿到shell
  2. 内网扫描
  3. 扫描到有漏洞的服务后，设置代理进行内网攻击
  4. 黑客会在路由处设置端口镜像，将所有端口流量转发到某个流量中，这个流量记录就是答题的依据

• 题目形式

  1. Pcap包
  2. shell接口
  3. 二合一

• 做题技巧

aafa.PNG

• 提取文件

adaa.PNG

• 日志分析

asafa.PNG

adasa.PNG

adasxa.PNG

tcp.PNG

w.PNG

w1.PNG

w3.PNG

• 连入新网络过程

  1. 发送dhcp请求ip
  2. 发送arp来确认没有人和他同ip（以上可通过bootp or arp）过滤

• 菜刀分析

  1. 一般是http请求，post

真题

1. 文件操作一般有edit、upload等关键字，登录一般有admin、manager、login等关键字，匹配多个关键字时可以使用matches+“[正则]”来匹配

w4.PNG

w5.PNG

w7.PNG

w9.PNG

w233.PNG