DIDCTF-电子数据取证-日志分析

已于 2024-05-16 07:37:35 修改
阅读量543 收藏
点赞数 3
分类专栏: DIDCTF 文章标签: 网络安全
于 2024-05-13 20:42:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CLAY0011/article/details/138818806
版权
welog1

题目描述

请根据日志分析攻击者写入的木马的连接密码,提交格式为:flag{xxxxx}

flag{3b90d75de248ce55b66e8e30873b6000}

 

ire7-windows-log

题目描述

请分析windows日志文件winlog.evtx,并从中找到key信息。

key :5sBgaXqR

2022DIDCTF新生赛-服务器分析题型复现
m0_74559567的博客
02-16 2082
2022DIDCTF新生赛-服务器分析题型复现(内附检材),使用到了root密码绕过、分析日志、宝塔的配置、网站的发现、脚本解析、docker容器映射的端口号~~~
DIDCTF-流量分析
WTT001的博客
05-14 839
wireshark0某日接到客户应急需求,客户连接工业控制系统的核心网络设备遭到入侵,初步推测可能是网络设备的远程登录密码被破解,请通过对给出的流量包分析,得到黑客登录网络设备后窃取的机密数据key1。flag为8位长度字符串下列抓包⽂件中包含了⽤户登录⽹站过程,请找出⽤户登录⽹站的明⽂密码。格式flag{密码}wireshark2从网络通信方式的层面看,后门可以被分为http/https类型、irc类型、icmp类型、dns类型等。
CTF刷题笔记 - misc方向 - 电子取证/内存分析
m0_62652276的博客
12-31 3379
DPAPI技术是Windows提供的一种数据保护API,它本质上使用了Windows通过用户自己登录(sids,登录密码等),以及域登录后的一些数据生成的密钥,并且使用内置的算法,对用户指定的数据进行加密。对采用DPAPI技术加密的数据进行解密,需要获取当前操作系统登录用户对应的 Master Key,而获取 MasterKey 需要知道用户名、密码以及对应的SID,然后利用这些数据生成一个 blob 加密过程中使用的 MasterKey,从而对目标blob进行解密。
2024长城杯决赛溯源取证DIDCTF)无靶机
最新发布
2301_80418689的博客
03-24 885
2024长城杯决赛溯源取证DIDCTF无靶机WP
DIDCTF-2022暑假取证学习
WTT001的博客
11-28 897
poiuy[格式: www.baidu.com]格式:SAMSUNG+FAWC524213104FAWV146+2022-07-14。
DIDCTF-电子数据取证-tomcat
WTT001的博客
05-13 608
在web服务器上发现的可疑活动,流量分析会显示很多请求,这表明存在恶意的扫描行为,通过分析扫描的行为后提交攻击者IP flag格式:flag{ip},如:flag{127.0.0.1}攻击者拿到特定目录的线索后,想要通过暴力破解的方式登录,请通过分析流量找到攻击者登录成功的用户名和密码?攻击者想要维持提权成功后的登录,请分析流量后提交关键的信息?找到攻击者IP后请通过技术手段确定其所在地址 flag格式: flag{城市英文小写}flag格式:flag{名称}flag格式:flag{2222}
DIDCTF流量分析
sucker的博客
12-16 976
攻击者通过特制的 URL 参数修改 PHP 配置,尤其是将 allow_url_include 和 auto_prepend_file 设置为 php://input,让 PHP 处理请求体中的代码,从而实现执行任意 PHP 代码。1,提到了上传的是webshell,应该是一句话木马,那么这个木马的一定存在关键的函数@eval()1,已经知道了后台登录用户是admin,那么就猜测爆破的最后一条是成功了,也就是登录使用的密码。1,追踪http的post的流量,并且只关注登录成功的流量。
[OtterCTF 2018] 电子取证
qq_61768489的博客
08-14 1013
计算机的主机名不可以被直接读取(vol没有模块可以处理),但是注册表内储存了相关信息,那么便可以从注册表中读取到主机名。这个就是flag 好坑, NSSCTF{Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@in}进程里有Rick And Morty ,漂亮国的动画,一定是下这个片儿进来病毒了。已知在登录过程中,账号可能会以明文的形式储存在内存之中,我们便可以利用。恶意软件是如何进入瑞克的电脑的?指令可以打印文件的hexdump信息,故借此筛选特定信息的位置。...
2023 年全国网络安全行业职业技能大赛-电子数据取证分析师-决赛WP_2023网络安全行业赛取证
2401_89791684的博客
01-24 1752
数据库取证工具里面可以恢复删除掉的数据带红叉的就说删除过的,game库下面announcement_detail表里面update_time字段使用sql语句时间戳最大为1513243355转换时间为2017-12-14 17:22:35。
藏经阁-电子数据取证技术趋势研究.pdf
09-10
藏经阁-电子数据取证技术趋势研究.pdf
藏经阁-电子数据取证在保障金融安全中的应用.pdf
08-30
藏经阁-电子数据取证在保障金融安全中的应用.pdf
CTF取证类题目指南
01-09
在CTF中,取证赛题包括了文件分析、隐写、内存镜像分析和流量抓包分析。任何要求检查一个静态数据文件(与可执行程序和远程服务器不同)从而获取隐藏信息的都可以被认为是取证题(除非它包含了密码学知识而被认为是密码类赛题)。 取证作为CTF中的一大类题目,不完全包括安全产业中的实际工作,常见的与之相关的工作是事故相应。但即使在事故响应工作中,计算机取证也经常是执法部门获取证据数据和证物的工作,而非对防御攻击者或恢复系统感兴趣的商业事故相应企业。
藏经阁-电子数据取证在保障金融安全中的应用 (1).pdf
08-27
藏经阁-电子数据取证在保障金融安全中的应用 (1).pdf
2024 年全国网络安全行业职业技能大赛-电子数据取证分析师总决赛解析WP_2024年网络安全行业职业技能大赛 答案
2401_87205029的博客
09-18 1481
3.数据库的备份数据以扩展名为zip 的文件存储在系统中,找到该zip 文件计算其MD5(128 位)校验值,并以此作为flag 提交。4.已知电脑中有一个抓包文件,请对该文件进行分析,给出流量包中可以获取的最大的图片的大小(单位字节),并以此作为 flag 提交。3.数据库中存放了大量用户的信息,请找到该表,提取手机号码为“13604329317”的用户 的名称,并以此作为 flag 提交。(答案格式:写出名称)(2 分)(例如:赵二的上线是张三,张三的上线是李四,则赵二的上线的上线就是李四)(5 分)
CTFShow-电子取证篇Writeup
Aluxian_的博客
05-18 3472
CTFShow-电子取证篇Writeup。
CTF取证
S_cx666的博客
01-19 1337
内存取证 经常利用volatility分析 取证文件后缀 .raw、.vmem、.img 常用命令(imageinfo,pslist,dumpfiles,memdump) 可疑的进程(notepad,cmd) 和磁盘取证结合起来考察 了解部分操作系统原理 常见文件后缀dmg,img volatility基础命令 python vol.py -f [image] ‐-profile=[profile][plugin] 命令 其中 -f 后面加的是要取证的文件, --profile 后加的是工具识别出的系统版
CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析
2401_86951182的博客
09-11 1435
python kobackupdec.py -vvv “W31C0M3_T0_THiS_34SY_F0R3NSiCX” “D:\BaiduSyncdisk\CTF\CTFwork\NSSCTF\misc\陇剑杯 2021\内存分析\HUAWEI P40_2021-aa-bb xx.yy.zz” “D:\BaiduSyncdisk\CTF\CTFwork\NSSCTF\misc\陇剑杯 2021\内存分析\output” volatility -f 1.dmp imageinfo volatility -f
CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析(1)
aergsergare的博客
09-05 2318
volatility -f Target.vmem --profile=Win7SP1x64 lsadump volatility -f Target.vmem --profile=Win7SP1x64 filescan 0x000000007d8c7d10 4 0 R–r-d \Device\HarddiskVolume1\Users\CTF\Desktop\HUAWEI P40_2021-aa-bb xx.yy.zz.exe volatility -f Target.vmem --p
2022-DIDCTF流量分析
03-14
<think>好的,我现在需要处理用户关于2022年DIDCTF赛事中流量分析相关信息的查询。首先,我要回顾用户提供的引用内容,看看哪些和流量分析相关。引用[1]提到了DIDCTF-流量分析,涉及HTTP/HTTPS、IRC、ICMP、DNS等协议的后门,以及从可疑流量包中提取敏感数据key1的值。引用[2]涉及电子数据取证,分析恶意文件名称,可能与流量分析有关。引用[3]提到数据库备份软件,可能涉及流量中的异常行为。引用[4]是关于图片分辨率的,可能不太相关。 用户的问题集中在2022 DIDCTF的交通流量分析报告、工具和方法。需要整理出赛事中使用的工具、分析方法和相关案例。根据引用[1],后门类型包括多种协议,分析这类流量可能需要使用Wireshark、Tshark等工具。此外,可能需要解析特殊协议,如DNS隧道或ICMP隐蔽通道。例如,从流量包中提取key1,可能涉及数据提取或协议逆向。 接下来,分析工具方面,常见的网络流量分析工具包括Wireshark、Tcpdump、Bro/Zeek、NetworkMiner等。在CTF中,参赛者可能使用这些工具过滤和统计协议,查找异常流量模式。比如,在HTTP流量中寻找可疑的POST请求,或在DNS查询中检测异常域名。 分析方法可能包括协议解析、流量统计、数据流重组、Payload提取等。例如,在引用[1]中,可能需要检查DNS请求中的子域名是否包含Base64编码的数据,或者检查ICMP包中的数据段是否存在异常负载。 案例部分,引用[1]的具体题目需要从流量包中分析特殊协议传输的key1,可能涉及解密或解码隐藏的数据。引用[2]涉及反弹shell的流量分析,可能通过检测交互式流量或特定命令执行模式来识别恶意文件。 需要确保回答结构清晰,分点说明工具、方法和案例,并引用相关来源。同时生成相关问题,如工具推荐、协议分析步骤、CTF中的常见技巧等。最后检查是否符合格式要求,如数学表达式的使用,但用户的问题可能不涉及数学,所以可能不需要。确保中文回答,引用标识正确。</think>### 2022年DIDCTF赛事流量分析相关信息 #### 一、涉及工具与技术 1. **常用分析工具** - **Wireshark**:用于协议解析、流量过滤、数据包深度解码,支持对HTTP/DNS/ICMP等协议的特征提取[^1][^2]。 - **Tshark**:命令行版Wireshark,适合批量处理流量包并提取特定字段(如DNS查询域名、HTTP响应内容)。 - **NetworkMiner**:用于文件重组,可从流量中提取传输的文件(如恶意脚本、图片等)[^2]。 2. **特殊协议分析方法** - **DNS隐蔽信道检测**:检查DNS查询请求中是否包含异常编码(如Base64的子域名)。 - **ICMP数据隐藏**:分析ICMP包载荷(Payload)是否携带加密数据或指令。 - **HTTP流量关联**:追踪TCP流,还原Web请求中的敏感操作(如上传Webshell、反弹Shell命令)[^2]。 #### 二、典型题目案例 1. **DNS协议传输敏感数据** 在2022 DIDCTF中,某题目要求从流量包中提取通过DNS隧道传输的`key1`。 - **解法**:过滤DNS协议,筛选长域名请求,对子域名部分进行Base64解码或十六进制转换。 2. **反弹Shell流量分析** 题目要求通过分析Tomcat流量提交恶意文件名(如`flag{114514.txt}`)。 - **解法**:在HTTP POST请求中查找异常文件上传,或追踪TCP流还原交互式命令(如`/bin/bash`特征)。 3. **数据库备份行为检测** 结合流量与服务器日志,分析攻击者使用的备份工具(如`mysqldump`或`pg_dump`)[^3]。 #### 三、关键方法总结 1. **流量过滤语法** - Wireshark过滤示例: ```bash dns.qry.name contains "key1" # 筛选包含关键词的DNS请求 http.request.method == "POST" # 过滤POST请求 icmp.type == 8 # 筛选ICMP请求包 ``` 2. **数据提取技巧** - 使用`tshark`导出HTTP传输文件: ```bash tshark -r traffic.pcapng --export-objects http,./output_dir ``` - 提取ICMP载荷: ```bash tshark -r traffic.pcapng -Y "icmp" -T fields -e data.data > payload.txt ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

WTT001.

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值