流量分析—ctf

题目介绍

该题为流量分析,当黑客入侵我们的网络是,我们可以需要通过一系列分析操作来进行抓捕与追踪,本题目难度中等偏下,不是很有难度,但题目类型较为全面,适合入手当做练习。

一、题目背景

某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了的申请方式,然后登陆了,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题

二、关卡列表

1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器
2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可)
3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/password)
4 某公司内网网络被黑客渗透,请分析流量,得到黑客上传的webshell文件名是,内容是什么,提交webshell内容的base编码
5 某公司内网网络被黑客渗透,请分析流量,黑客在robots.txt中找到的flag是什么
6 某公司内网网络被黑客渗透,请分析流量,黑客找到的数据库密码是多少
7 某公司内网网络被黑客渗透,请分析流量,黑客在数据库中找到的hash_code是什么
8 某公司内网网络被黑客渗透,请分析流量,黑客破解了账号[email protected]得到的密码是什么
9 某公司内网网络被黑客渗透,请分析流量,被黑客攻击的web服务器,网卡配置是是什么,提交网卡内网ip
10 某公司内网网络被黑客渗透,请分析流量,黑客使用了什么账号登陆了mail系统(形式: username/password)
11某公司内网网络被黑客渗透,请分析流量,黑客获得的的ip是多少

详细解题过程与思路

1.黑客使用的扫描器

我们首先应该了解常用的扫描器(Awvs,Netsparker,Appscan,Webinspect,Rsas,Nessus,WebReaver,Sqlmap)
利用wireshark抓包工具打开webone.pcap数据包,按照协议类型排序一下,看到http协议的时候,发现了明显的awvs的特征
打开webone.pcap数据包 ,使用 http contains acunetix 发现了很多awvs的特征,说明是用awvs进行扫描的
http contains “wvs” //搜索关键字,我们知道黑客采用awvs扫描器流量分析—ctf_第1张图片

2、黑客扫描到的登陆后台

登陆后台99%使用的是POST方法,直接使用过滤器过滤一下,然后追踪TCP流,看到302重定向,基本就是登陆成功了
http.request.method==“POST” //TCP追踪流我们可以看出黑客登录的后台为login
流量分析—ctf_第2张图片

你可能感兴趣的:(安全,网络)