Índice
Pergunta 1.1
1. Use o Wireshark para visualizar e analisar o arquivo do pacote de dados capture1.1.pcap no cenário do servidor desktop PYsystem20191. Ao analisar o pacote de dados capture1.1.pcap, descubra as informações de longitude e latitude com os dois últimos dígitos do host Endereço MAC sendo "ad", e adicione a longitude e latitude. As informações são enviadas como valor do Flag (separado por vírgulas em inglês, por exemplo: 39.906000,116.645000)
A resposta é www.ld80.cn
Pergunta 1.2
Continue a analisar o pacote de dados capture1.1.pcap, descubra as informações de versão do sistema operacional do servidor de destino e envie as informações de versão do sistema operacional do servidor como um valor de sinalizador
Primeiro, Ctrl+F abre a pesquisa e procura a palavra-chave Windows
Pergunta 1.3
Continue analisando o pacote de dados capture1.1.pcap, descubra o nome de usuário do login do hacker e envie o nome de usuário como o valor do sinalizador
Vamos primeiro analisar qual é o protocolo, aqui está o protocolo smb.
Pergunta 1.4
Continue analisando o pacote de dados capture1.1.pcap, descubra a senha usada pelo hacker para fazer login e envie a senha como um valor de sinalizador
É difícil dividir o conteúdo das senhas SMB, aqui eu apenas tento o dicionário um por um e pronto.
Pergunta 1.5
Use o Wireshark para visualizar e analisar o arquivo do pacote capture1.2.pcap no cenário do servidor desktop PYsystem20191, definir regras de filtragem, exibir apenas pacotes com protocolo TCP e porta de origem 23 e usar esta regra de filtragem como o valor do sinalizador (na resposta enviada Não inclua espaços, por exemplo: ip.dst == 172.16.1.1, então o Flag é ip.dst==172.16.1.1) Enviar
O protocolo tcp src é a porta de origem, a porta == e o valor é igual a 23. Se houver algum problema com esta questão, envie tcp.port==23.
Pergunta 1.6
Continue analisando o pacote de dados capture1.2.pcap para descobrir o pacote de dados usado pelos hackers para quebrar o Telnet com força bruta e enviar o nome de usuário e a senha quebrados com sucesso como valores de sinalizador (o nome de usuário e a senha são separados por vírgulas em inglês, por exemplo: root, toor)
Primeiro filtre o protocolo telnet
Role até a parte inferior e selecione um pacote aleatoriamente, clique com o botão direito para rastrear o fluxo tcp, pois já existem pacotes conectados na parte inferior, portanto não há necessidade de percorrê-los um por um. Talvez por ser windows os parâmetros se repetirão, remova-os você mesmo.
Pergunta 1.7
Continue a analisar o pacote de dados capture1.2.pcap, descubra o comando inserido pelo hacker após o Telnet bem-sucedido e envie o comando como um valor de sinalizador
Ao rastrear o fluxo tcp, você pode ver que ping, exio e exit são executados.
A questão exige que vários comandos executados com sucesso sejam separados por vírgulas.
A resposta é ping, sair
Pergunta 2.1
Use o Wireshark para visualizar e analisar o arquivo do pacote de dados capture3.pcap na área de trabalho PYsystem20191, descobrir a conta e a senha usadas pelo hacker para fazer login no backend do site do servidor atacado e usar a conta e a senha usadas pelo hacker como o valor do Flag (uma vírgula é usada entre o nome de usuário e a senha) separados, por exemplo: root, toor) commit
A pergunta requer a conta e senha utilizadas no backend do site, e o protocolo de filtragem http
A idéia é que a página anterior estivesse na página de login, e de repente existem outras páginas abaixo. Depois haverá outras páginas após o login bem-sucedido. Veja o pacote enviado pela última página de login para obter a senha da conta.
Pergunta 2.2
Continue analisando o pacote de dados capture3.pcap, descubra os três arquivos obtidos pelo hacker após atacar o servidor FTP e use os três nomes de arquivos obtidos como valores de Flag (ao enviar, classifique-os na ordem do tempo de download do arquivo , separados por / , por exemplo: a/b/c) commit
Encontre o servidor FTP atacado pelo hacker e obtenha 3 arquivos, filtre o protocolo FTP, role até o final como acima e selecione um fluxo de rastreamento de pacotes
Preste atenção ao enviar quando a pergunta exigir um nome de arquivo, mas não exigir um sufixo.
Pergunta 2.3
Continue a analisar o pacote de dados capture3.pcap, descubra o Trojan de uma frase carregado pelo hacker para fazer login no segundo plano do servidor e envie o nome do arquivo do Trojan de uma frase antes de fazer o upload como o valor do sinalizador (por exemplo: mãe)
Descubra o Trojan de uma frase enviado pelo hacker após fazer login no servidor
Quem tem o equipamento sabe que FileSharing.php é a página de upload e é só procurar.
Pergunta 2.4
Continue analisando o pacote de dados capture3.pcap, descubra a senha de conexão do Trojan de uma frase carregado pelo hacker e envie a senha de conexão do Trojan de uma frase como o valor do sinalizador (por exemplo: abc123)
Descubra a senha de conexão do Trojan de uma frase enviado pelo hacker e o pacote operacional de uma faca de cozinha
Pergunta 2.5
Continue a analisar o pacote de dados capture3.pcap, descubra os arquivos-chave do servidor baixados pelo hacker após enviar o Trojan de uma frase e envie o nome do arquivo-chave baixado como o valor do sinalizador
Porque o download com um helicóptero é criptografado em base64 e precisa ser descriptografado.
Pergunta 2.6
Continue analisando o pacote de dados capture3.pcap, descubra o arquivo Trojan carregado pelo hacker pela segunda vez e envie a senha de conexão do arquivo Trojan como o valor do sinalizador (por exemplo: abc123)
Role até a parte inferior e você verá um pacote de dados óbvio com o parâmetro pwd.
Pergunta 2.7
Continue analisando o pacote de dados capture3.pcap, descubra o primeiro comando usado pelo hacker por meio do Trojan e envie o comando como um valor de Flag
Descubra o primeiro comando usado pelo hacker através do cavalo de Tróia. Você pode ver que há um parâmetro de pacote com cmd nele. O conteúdo é criptografia e descriptografia base64 e você pode obtê-lo.
Pergunta 2.8
Continue analisando o pacote de dados capture3.pcap para descobrir quantas solicitações ICMP o hacker enviou a si mesmo por meio do servidor da vítima após assumir o controle do servidor da vítima e envie o número de solicitações como um valor de sinalizador.
Primeiro determine o IP do servidor, depois filtre o protocolo icmp e depois filtre o remetente como o servidor, obtenha os pacotes de dados e conte-os
Pergunta 3.1
Use o Wireshark para visualizar e analisar o arquivo do pacote de dados capture2.pcap na área de trabalho PYsystem20191. Ao analisar o pacote de dados capture2.pcap, encontre o pacote de dados usado pelo hacker para atacar o servidor web e use o endereço IP usado pelo hacker como o valor do sinalizador (por exemplo: 192.168.10.1) envie
Use o endereço IP usado pelo hacker como valor do Flag, filtre o protocolo http para ver qual IP está acessando a página da web para obter o IP do hacker
Pergunta 3.2
Use o Wireshark para visualizar e analisar o arquivo de pacote capture2.pcap na área de trabalho PYsystem20191. Ao definir regras de filtragem, é necessário exibir apenas os pacotes RST durante o protocolo de handshake de três vias e o endereço IP de origem do ataque. Use esta filtragem regra como o valor do sinalizador (há duas regras de filtragem, uso e conexão, e a resposta enviada não contém espaços. Por exemplo, se tcp.ack e ip.dst == 172.16.1.1, então o sinalizador é tcp.ackandip .dst==172.16.1.1) Enviar
É necessário exibir apenas os pacotes RST durante o protocolo de handshake de três vias e o endereço IP de origem do ataque, e usar esta regra de filtragem como o valor do Flag.
Primeiro encontre um pacote RST,
obteve tcp.flags.reset == 1
E o endereço IP de origem do ataque e ip.src==192.168.13.129, emendados para obter tcp.flags.reset == 1 e ip.src==192.168.13.129, remova os espaços ao enviar
Pergunta 3.3
Continue analisando o pacote de dados capture2.pcap, encontre os pacotes de dados do hacker escaneando o servidor Web e use o número da porta aberta do servidor Web que não é filtrado pelo firewall como o valor do sinalizador (se houver várias portas, classifique-os de acordo com o tamanho do número da porta e use o inglês ao enviar) Separados por vírgulas, por exemplo: 77,88,99,166,1888) Enviar
tcp.flags.reset == 1 e tcp.srcport e ip.dst==192.168.13.128
Pergunta 3.4
Continue analisando o pacote de dados capture2.pcap, encontre o pacote de dados usado pelos hackers para atacar o servidor Web e envie o número da versão do serviço Nginx do servidor Web como o valor do sinalizador.
Ctrl+f abre a busca por Nginx
Pergunta 3.5
Continue analisando o pacote de dados capture2.pcap, encontre o pacote de dados usado pelos hackers para atacar o servidor web e envie o nome da biblioteca do banco de dados do site do servidor como o valor do sinalizador.
Ctrl+f abre pesquisa Mysql
Pergunta 3.6
Continue analisando o pacote de dados capture2.pcap para descobrir o nome de usuário e a senha usados pelo hacker para fazer login com sucesso na página de gerenciamento de back-end do site e use o nome de usuário e a senha como o valor do sinalizador (o nome de usuário e a senha são separados por inglês vírgulas, por exemplo: root, toou )submit
Pesquise a senha para obter a senha da conta
Criptografia AES usada aqui
Chave encontrada de pesquisa
Obtenha-o on-line para descriptografá-lo
Pergunta 3.7
Continue analisando o pacote de dados capture2.pcap, descubra a hora em que o hacker começou a usar o sqlmap para iniciar o ataque de injeção de SQL e envie a hora em que o ataque de injeção de SQL foi lançado como o valor do sinalizador (por exemplo: 16:35: 14)
Encontre o momento em que o sqlmap inicia o ataque. Ao usar o sqlmap, o valor do User-Agent no pacote http será substituído pela versão do sqlmap e pelo site oficial. Aplicamo-lo como uma coluna.
Classifique-o e encontre o pacote na parte inferior que é o mais antigo.
Pergunta 3.8
Continue analisando o pacote de dados capture2.pcap, descubra a hora em que o hacker termina de usar sqlmap e envie a hora em que o hacker termina de usar sqlmap como valor do sinalizador (por exemplo: 16:35:14)
Siga o método acima para obter a hora de término.
- Autor deste artigo: Juneha
- Link para este artigo: Competição Nacional de Habilidades de Faculdades Profissionais de 2019 Competição de Segurança do Ciberespaço Solução de Problema de Análise de Pacotes de Dados Wireshark (Simulação) - JunBlog
- Declaração de direitos autorais: Salvo indicação em contrário, todos os artigos deste blog são licenciados sob a licença CC BY-NC-SA 4.0 .
- Declaração do artigo: Os procedimentos (métodos) envolvidos no artigo podem ser ofensivos e são apenas para pesquisa de segurança e fins de ensino. Se os leitores usarem as informações para outros fins, o usuário assumirá toda a responsabilidade legal e solidária. O autor do artigo não não assumo qualquer responsabilidade legal e solidária. Oponho-me firmemente ao uso do conteúdo deste artigo para conduzir ataques maliciosos. Recomendo que todos protejam melhor a segurança das informações pessoais, a segurança corporativa e a segurança nacional com base na compreensão dos princípios técnicos.