- 博客(13)
- 收藏
- 关注
原创 buu 7.16
buu 7.16百里挑一[安洵杯 2019]Attack[MRCTF2020]千层套路百里挑一先到处http对象,保存到文件夹在到kali里面进行exiftool分析,得到一半flag另一半的flag在tcp 114流中flag{ae58d0408e26e8f26a3c0589d23edeec}[安洵杯 2019]Attack先过滤出包含flag关键字这里有个压缩包,提取出来,foremost分离出来打开zip包发现这边还有一个lsass.dmp文件lsass是w
2021-07-16 16:25:10
684
原创 buu 7.15
buu刷题zip[RoarCTF2019]黄金6年间谍启示录[安洵杯 2019]吹着贝斯扫二维码[ACTF新生赛2020]swp小易的U盘从娃娃抓起[WUSTCTF2020]alison_likes_jojo[DDCTF2018](╯°□°)╯︵ ┻━┻[GUET-CTF2019]zipszip打恺压缩包,发现里面有很多加密压缩包,但是里面的内容非常小,小于5字节,可以尝试使用CRC32爆破得到其内容发现是base64编码,解码得到是rar文件010打开,添加rar文件头52 61 72
2021-07-15 19:58:01
396
原创 buu刷题7.14
BUU---7.14[MRCTF2020]ezmisc弱口令[MRCTF2020]ezmisc打开图片发现有crc报错,跑一下脚本,爆出正确高度为0x1c8,得到flag弱口令先尝试爆破没有成功,复制注释得到是摩斯密码,将.看成.,将->看成-,得到.... . .-.. .-.. ----- ..-. --- .-. ..- --所以密码为HELL0FORUM...
2021-07-14 22:12:19
235
原创 buu刷题7.13
[WUSTCTF2020]find_me查看属性,发现是盲文,解密得到flag盲文解密网站wctf2020{y000u_f111nddd_Meeeeeeee$e}法二exiftool[SWPU2019]伟大的侦探用010打开txt文档,更改编码方式用明文解压得到福尔摩斯小人密码解密得到flagiloveholmesandwllm...
2021-07-13 21:06:57
237
原创 合天恶意流量分析八
你的任务:找出哪个电子邮件用于感染哪台计算机。毕竟,这有多难?先来看MARCUS的先使用http.request过滤可以看到主要有两个可疑的地方:185.165.29.36—GET /trolls.jpgmyexternalip.com—GET /raw先追踪第一个tcp流看看猜测这种行为是一些恶意软件典型的行为—从某个服务器下载一个可执行恩建然后在受害者的主机上执行再看第二个发现也没有user-agent再看看有没有其他异常的tcp连接,可以先过滤出tcp syn包可以看到在异
2021-07-13 18:32:53
206
1
原创 合天恶意流量分析七
为每个 pcap 起草一份事故报告。使用电子邮件找出每次感染的恶意软件。您的两份事件报告中的每一份都应包括:以UTC (GMT) 表示的恶意活动的日期、开始时间和结束时间。pcap 中 Windows 主机的 IP 地址。 pcap 中Windows 主机的 Mac 地址。 pcap 中 Windows 主机的主机名。 记录了哪些类型的恶意活动。 恶意活动指标(IP地址、域名、文件哈希等)。 对发生的事情的总结。给出了两个eml文件,先下载查看器apt-get install thunderb.
2021-07-13 16:16:05
607
原创 合天恶意流量分析六
问题活动发送的时间,日期哪台主机发生了什么indicatirs(指标),包括(ip,域名等)ip:172.16.2.169mac地址:00:13:d4:1f:a2:5esmb流量可以获取到hostname的类型所以hostname是CONSERVATOR - PC至于user account name还是使用kerberos末尾带有¥的是hostname,末尾不带有¥的是windows account name,也就是user account name数据包是从
2021-07-13 09:40:50
735
原创 合天恶意流量分析五
任务感染日期/时间谁被感染(IP 地址、主机名、MAC 地址和用户帐户名)涉及哪些恶意软件这种感染的可能来源与此感染相关的指标(IP 地址、域、URL 和文件哈希,如果有)mac地址 00:30:67:f1:2d:63通过查询nbns流量得到主机名...
2021-07-12 22:42:18
169
原创 合天恶意流量分析四
任务:检查pcap数据包查找出哪台主机感染了什么恶意软件。首先查看局域网内有几台主机统计->Conversations->ipv4所以确定有总共5台,分别为172.16.1.67172.16.1.89172.16.1.141172.16.1.201172.16.1.255...
2021-07-10 19:51:33
242
2
原创 合天恶意流量分析三
统计->ipv4 statics->all address,如图所示发现通信流量基本全部是由10.0.21.136发起的,所以用户主机的ip地址是10.0.21.136NetBIOS是Network Basic Input/Output System的简称,一般指用于局域网通信的一套API,它在基于 NetBIOS 名称访问的网络上提供主机名和地址映射方法。所以通过NBNS协议我们可以找到主机名所以选中一条nbns的数据这个为mac地址和主机名查询用户名的话,查http的请求
2021-07-08 17:11:49
154
原创 合天恶意流量分析二
实验目的:回答以下的问题除了位于 172.16.3.2 的域控制器之外,网络上还有多少台主机处于活动状态?列出在调查上一个问题时找到的主机的 IP 地址。哪个 IP 地址代表运行 Ubuntu 的主机?什么类型的主机使用 IP 地址 172.6.3.188?哪个 IP 地址最有可能是 Amazon Fire 平板电脑?哪三个 IP 地址代表连接到 172.16.3.2 的域控制器的 Windows 主机?三个 Windows 主机中的哪一个显示出感染 Emotet 和 IcedID 银行木马
2021-07-08 16:09:07
453
原创 合天恶意流量分析一
合天恶意流量分析一首先我们查看数据包,发现有很多包,没有头绪,就先查看告警日志第一条收到whatismyaddress.com的请求这是一个正常流量,是查看我们的出网端口的ip地址第三条是一个FTP stor的命令这个命令是用于存储文件到服务器上,这里提示的是连接到外部网络,所以可以推测,如果存在恶意软件的话就是通过ftp协议将数据传输到他的外网服务器上第四条是一个Hawkeye Keylogger的一个木马用键盘记录器发送数据所以通过以上分析,可以使用ftp过滤协议
2021-07-08 11:48:34
280
原创 强网杯2021 misc 复现
对强网杯BlueTeaming、ISO1995、CipherMan、ExtremelySlow、EzTime的复现(纯萌新学步)可以参考mumuzi大佬的wphttps://blog.csdn.net/qq_42880719/article/details/117968361BlueTeaming审题Powershell scripts were executed by malicious programs. What is the registry key that contained th
2021-07-03 17:25:46
1052
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人