Tabla de contenido
Pregunta 1.1
1. Utilice Wireshark para ver y analizar el archivo del paquete de datos capture1.1.pcap en el escenario del servidor PYsystem20191. Al analizar el paquete de datos capture1.1.pcap, descubra la información de longitud y latitud con los dos últimos dígitos del host. La dirección MAC es "ad" y se agrega la longitud y la latitud. La información se envía como valor de bandera (separada por comas en inglés, por ejemplo: 39.906000,116.645000).
La respuesta es www.ld80.cn
Pregunta 1.2
Continúe analizando el paquete de datos capture1.1.pcap, descubra la información de la versión del sistema operativo del servidor de destino y envíe la información de la versión del sistema operativo del servidor como un valor de bandera.
Primero, Ctrl+F abre la búsqueda y busca la palabra clave Windows.
Pregunta 1.3
Continúe analizando el paquete de datos capture1.1.pcap, descubra el nombre de usuario del inicio de sesión del pirata informático y envíe el nombre de usuario como valor de bandera.
Primero analicemos qué protocolo es, aquí está el protocolo smb.
Pregunta 1.4
Continúe analizando el paquete de datos capture1.1.pcap, descubra la contraseña utilizada por el pirata informático para iniciar sesión y envíe la contraseña como un valor de bandera.
Es problemático unir el contenido de las contraseñas SMB, aquí simplemente pruebo el diccionario uno por uno y listo.
Pregunta 1.5
Utilice Wireshark para ver y analizar el archivo de paquetes capture1.2.pcap en el escenario del servidor PYsystem20191, establezca reglas de filtrado, muestre solo paquetes con protocolo TCP y puerto de origen 23, y utilice esta regla de filtrado como valor de bandera (en la respuesta enviada No incluya espacios, por ejemplo: ip.dst == 172.16.1.1, entonces el indicador es ip.dst==172.16.1.1) Enviar
El protocolo tcp src es el puerto de origen, el puerto == y el valor es igual a 23. Si hay algún problema con esta pregunta, envíe tcp.port==23.
Pregunta 1.6
Continúe analizando el paquete de datos capture1.2.pcap para descubrir el paquete de datos utilizado por los piratas informáticos para descifrar Telnet con fuerza bruta y envíe el nombre de usuario y la contraseña descifrados con éxito como valores de bandera (el nombre de usuario y la contraseña están separados por comas en inglés). por ejemplo: raíz, toor)
Primero filtra el protocolo telnet.
Desplácese hasta la parte inferior y seleccione un paquete al azar, haga clic derecho para rastrear el flujo tcp, porque ya hay paquetes conectados en la parte inferior, por lo que no es necesario revisarlos uno por uno. Tal vez porque es Windows, los parámetros se repetirán, elimínelos usted mismo.
Pregunta 1.7
Continúe analizando el paquete de datos capture1.2.pcap, descubra el comando ingresado por el pirata informático después de Telnet exitoso y envíe el comando como un valor de bandera
Al rastrear el flujo tcp, puede ver que se ejecutan ping, exio y exit.
La pregunta requiere que varios comandos que se ejecuten correctamente estén separados por comas.
La respuesta es ping, salir.
Pregunta 2.1
Utilice Wireshark para ver y analizar el archivo del paquete de datos capture3.pcap en el escritorio PYsystem20191, descubra la cuenta y la contraseña utilizadas por el pirata informático para iniciar sesión en el backend del sitio web del servidor atacado y utilice la cuenta y la contraseña utilizadas por el pirata informático como valor de Bandera (se usa una coma entre el nombre de usuario y la contraseña) Separar, por ejemplo: root, toor) enviar
La pregunta requiere la cuenta y contraseña utilizadas en el backend del sitio web y el protocolo de filtrado http.
La idea es que la página anterior estaba en la página de inicio de sesión y de repente hay otras páginas debajo. Luego habrá otras páginas después de iniciar sesión correctamente. Mire el paquete enviado por la última página de inicio de sesión para obtener la contraseña de la cuenta.
Pregunta 2.2
Continúe analizando el paquete de datos capture3.pcap, descubra los tres archivos obtenidos por el pirata informático después de atacar el servidor FTP y utilice los tres nombres de archivos obtenidos como valores de bandera (al enviarlos, ordénelos según el tiempo de descarga del archivo). , separados por / , por ejemplo: a/b/c) confirmar
Encuentre el servidor FTP atacado por el hacker y obtenga 3 archivos, filtre el protocolo Ftp, desplácese hasta el final como se muestra arriba y seleccione un flujo de seguimiento de paquetes.
Preste atención al enviar la pregunta cuando requiera un nombre de archivo pero no un sufijo.
Pregunta 2.3
Continúe analizando el paquete de datos capture3.pcap, descubra el troyano de una frase cargado por el pirata informático para iniciar sesión en el fondo del servidor y envíe el nombre del archivo del troyano de una frase antes de cargarlo como valor de bandera (por ejemplo: mamá)
Descubra el troyano de una frase subido por el hacker después de iniciar sesión en el servidor
Cualquiera que tenga el equipo sabe que FileSharing.php es la página de carga y simplemente búsquela.
Pregunta 2.4
Continúe analizando el paquete de datos capture3.pcap, descubra la contraseña de conexión del troyano de una frase cargado por el pirata informático y envíe la contraseña de conexión del troyano de una frase como valor de bandera (por ejemplo: abc123).
Descubra la contraseña de conexión del troyano de una frase subido por el hacker y el paquete de operaciones de un cuchillo de cocina
Pregunta 2.5
Continúe analizando el paquete de datos capture3.pcap, descubra los archivos clave del servidor descargados por el pirata informático después de cargar el troyano de una frase y envíe el nombre del archivo clave descargado como valor de bandera.
Porque la descarga con un helicóptero está cifrada en base64 y debe descifrarse.
2.6 preguntas
Continúe analizando el paquete de datos capture3.pcap, descubra el archivo troyano cargado por el pirata informático por segunda vez y envíe la contraseña de conexión del archivo troyano como valor de bandera (por ejemplo: abc123).
Desplácese hasta la parte inferior y podrá ver un paquete de datos obvio con el parámetro pwd.
2.7 preguntas
Continúe analizando el paquete de datos capture3.pcap, descubra el primer comando utilizado por el hacker a través del troyano y envíe el comando como un valor de bandera.
Descubra el primer comando utilizado por el hacker a través del caballo de Troya. Puede ver que hay un parámetro de paquete con cmd en él. El contenido es cifrado y descifrado base64 y puede obtenerlo.
2.8 preguntas
Continúe analizando el paquete de datos capture3.pcap para descubrir cuántas solicitudes ICMP se envió el hacker a sí mismo a través del servidor víctima después de tomar el control del servidor víctima, y envíe la cantidad de solicitudes como un valor de Bandera.
Primero determine la IP del servidor, luego filtre el protocolo icmp y luego filtre el remitente como servidor, obtenga los paquetes de datos y luego cuéntelos
3.1 preguntas
Utilice Wireshark para ver y analizar el archivo del paquete de datos capture2.pcap en el escritorio PYsystem20191. Al analizar el paquete de datos capture2.pcap, encuentre el paquete de datos utilizado por el pirata informático para atacar el servidor web y utilice la dirección IP utilizada por el pirata informático. como valor de bandera (por ejemplo: 192.168.10.1) enviar
Utilice la dirección IP utilizada por el hacker como valor de bandera, filtre el protocolo http para ver qué IP ha estado accediendo a la página web para obtener la IP del hacker.
Pregunta 3.2
Utilice Wireshark para ver y analizar el archivo de paquetes capture2.pcap en el escritorio PYsystem20191. Al establecer reglas de filtrado, es necesario mostrar solo los paquetes RST durante el protocolo de enlace de tres vías y la dirección IP de origen del ataque. Utilice este filtrado regla como valor de Bandera (hay dos reglas de filtrado, uso y conexión, y la respuesta enviada no contiene espacios. Por ejemplo, si tcp.ack e ip.dst == 172.16.1.1, entonces la Bandera es tcp.ackandip .dst==172.16.1.1) Enviar
Es necesario mostrar solo los paquetes RST durante el protocolo de enlace de tres vías y la dirección IP de origen del ataque, y utilizar esta regla de filtrado como valor de bandera.
Primero busque un paquete RST,
tengo tcp.flags.reset == 1
Y la dirección IP de origen del ataque e ip.src==192.168.13.129, empalmadas para obtener tcp.flags.reset == 1 e ip.src==192.168.13.129, elimine los espacios al enviar
3.3 preguntas
Continúe analizando el paquete de datos capture2.pcap, busque los paquetes de datos del pirata informático que escanea el servidor web y utilice el número de puerto abierto del servidor web que no está filtrado por el firewall como valor de bandera (si hay varios puertos, ordénelos según el tamaño del número de puerto y use inglés al enviarlos) Separados por comas, por ejemplo: 77,88,99,166,1888) Enviar
tcp.flags.reset == 1 y tcp.srcport y ip.dst==192.168.13.128
3.4 preguntas
Continúe analizando el paquete de datos capture2.pcap, busque el paquete de datos utilizado por los piratas informáticos para atacar el servidor web y envíe el número de versión del servicio Nginx del servidor web como valor de bandera.
Ctrl+f para abrir la búsqueda Nginx
3.5 preguntas
Continúe analizando el paquete de datos capture2.pcap, busque el paquete de datos utilizado por los piratas informáticos para atacar el servidor web y envíe el nombre de la biblioteca de la base de datos del sitio web del servidor como valor de Bandera.
Ctrl+f para abrir la búsqueda Mysql
3.6 preguntas
Continúe analizando el paquete de datos capture2.pcap para averiguar el nombre de usuario y la contraseña utilizados por el pirata informático para iniciar sesión con éxito en la página de administración de backend del sitio web y utilice el nombre de usuario y la contraseña como valor de bandera (el nombre de usuario y la contraseña están separados por inglés comas, por ejemplo: root, toor )enviar
Buscar contraseña para obtener la contraseña de la cuenta
Cifrado AES utilizado aquí
busca para encontrar la clave
Consíguelo en línea para descifrarlo
3.7 preguntas
Continúe analizando el paquete de datos capture2.pcap, descubra la hora en que el pirata informático comenzó a usar sqlmap para lanzar el ataque de inyección SQL y envíe la hora en que se lanzó el ataque de inyección SQL como valor de Bandera (por ejemplo: 16:35: 14)
Encuentre el momento en que sqlmap lanza el ataque. Al usar sqlmap, el valor de User-Agent en el paquete http será reemplazado por la versión de sqlmap y el sitio web oficial. Lo aplicamos como una columna.
Clasifíquelo y busque el paquete en la parte inferior, que es el más antiguo.
3.8 preguntas
Continúe analizando el paquete de datos capture2.pcap, descubra la hora en que el hacker termina de usar sqlmap y envíe la hora en que el hacker termina de usar sqlmap como valor de bandera (por ejemplo: 16:35:14)
Siga el método anterior para obtener la hora de finalización.
- Autor: Juneha
- Enlace a este artículo: Competencia nacional de habilidades para universidades vocacionales de 2019 Competencia de seguridad en el ciberespacio Solución de problemas de análisis de paquetes de datos de Wireshark (simulación) - JunBlog
- Declaración de derechos de autor: a menos que se indique lo contrario, todos los artículos de este blog tienen la licencia CC BY-NC-SA 4.0 .
- Declaración del artículo: Los procedimientos (métodos) involucrados en el artículo pueden ser ofensivos y son solo para fines de investigación y enseñanza de seguridad. Si los lectores utilizan la información para otros fines, el usuario asumirá toda la responsabilidad legal y conjunta. El autor del artículo no No asumo ninguna responsabilidad legal y solidaria. Me opongo firmemente a utilizar el contenido de este artículo para realizar ataques maliciosos. Recomiendo que todos salvaguarden mejor la seguridad de la información personal, la seguridad corporativa y la seguridad nacional bajo la premisa de comprender los principios técnicos.