Hack The Box-Sherlocks-Litter

靶场介绍

Khalid has just logged onto a host that he and his team use as a testing host for many different purposes, it’s off their corporate network but has access to lots of resources in network. The host is used as a dumping ground for a lot of people at the company but it’s very useful, so no one has raised any issues. Little does Khalid know; the machine has been compromised and company information that should not have been on there has now been stolen - it’s up to you to figure out what has happened and what data has been taken.

哈立德刚刚登录了一台主机,他和他的团队将其用作多种不同用途的测试主机,该主机不在他们的公司网络中,但可以访问网络中的大量资源。主机被用作公司很多人的垃圾场,但它非常有用,所以没有人提出任何问题。哈立德知之甚少;这台机器已经被泄露,本不应该在那里的公司信息现在也被窃取了-需要你来弄清楚发生了什么以及获取了什么数据。

Task 1

At a glance, what protocol seems to be suspect in this attack?

乍一看,在这次攻击中,什么协议似乎是可疑的?

使用Wireshark打开下载的流量包

Hack The Box-Sherlocks-Litter_第1张图片

发现一开始就有许多不明意义的DNS流量

Task 1:DNS

Task 2

There seems to be a lot of traffic between our host and another, what is the IP address of the suspect host?

我们的主机和另一个主机之间似乎存在大量流量,可疑主机的IP地址是什么?

经过翻阅流量包,注意到以下可疑片段

Hack The Box-Sherlocks-Litter_第2张图片

上图中,我们的主机在192.168.157.145主机上下载了大量的文件,因此确定其为可疑ip

Task 2:192.168.157.145

Task 3

What is the first command the attacker sends to the client?

攻击者向客户端发送的第一个命令是什么?

在数据包中过滤出来自攻击者的ip

Hack The Box-Sherlocks-Litter_第3张图片

追踪其UDP字节流

Hack The Box-Sherlocks-Litter_第4张图片

筛选出攻击者往受害者发送的数据包

Hack The Box-Sherlocks-Litter_第5张图片

将首行内容进行解密后,发现为

Hack The Box-Sherlocks-Litter_第6张图片

能够推测出命令一定在剩余的流量中,对流量做逐个解密, 发现第一个执行的命令

Hack The Box-Sherlocks-Litter_第7张图片

Task 3:whoami

Task 4

What is the version of the DNS tunneling tool the attacker is using?

攻击者正在使用的DNS隧道工具的版本是什么?

继续查看上一问中的流量包,解密出一段包含DNS隧道工具的版本信息的数据

Hack The Box-Sherlocks-Litter_第8张图片

Hack The Box-Sherlocks-Litter_第9张图片

Task 4:0.07

Task 5

The attackers attempts to rename the tool they accidentally left on the clients host. What do they name it to?

攻击者试图重命名他们意外留在客户端主机上的工具。他们把它命名为什么?

将上一问流量包导出,进行十六进制解码,在结果中搜索和Windows重命名命令(ren)有关的字段

在这里插入图片描述
但是此题的答案和图中有所偏差,为:win_installer.exe

Task 5:win_installer.exe

Task 6

The attacker attempts to enumerate the users cloud storage. How many files do they locate in their cloud storage directory?

攻击者试图枚举用户云存储。他们在云存储目录中找到了多少个文件?

在文件中搜索dir命令,查看结果

Hack The Box-Sherlocks-Litter_第10张图片

发现并没有文件泄露

Task 6:0

Task 7

What is the full location of the PII file that was stolen?

被盗的PII文件的完整位置是什么?

继续在文件中寻找,发现敏感了被盗文件的位置

Hack The Box-Sherlocks-Litter_第11张图片

Task 7:C:\Users\test\Documents\client data optimisation\user details.csv

Task 8

Exactly how many customer PII records were stolen?

到底有多少客户PII记录被盗?

查看csv文件内容,发现从3开始,每一行数据前均有编号,这个编号一直持续到720

Hack The Box-Sherlocks-Litter_第12张图片

Hack The Box-Sherlocks-Litter_第13张图片

因此,总共被盗的数据量要么是720,要么是721,经过测试,答案为721

Task 8:721

你可能感兴趣的:(网络,安全,wireshark,web,http)